Security Bounty Program
QNAP si impegna costantemente nel garantire la sicurezza delle informazioni e collabora con la comunità di ricerca sulla sicurezza per identificare e correggere le vulnerabilità per mantenere i nostri utenti, prodotti e Internet al sicuro. Per ringraziare per questi contributi, QNAP offre dei premi tramite il nostro programma Security Bounty.
Scopo del programma
Il Bounty Program accetta solo segnalazioni di vulnerabilità Sicurezza relative ai prodotti e ai servizi web QNAP. Qualsiasi segnalazione Sicurezza che non rientri nell'ambito di questo programma non sarà idonea per le ricompense. Questo programma non accetta né premia vulnerabilità Sicurezza individuate in software di terze parti (ad esempio, QPKG di terze parti). Se scopri problemi Sicurezza in tali software, ti preghiamo di contattare e informare direttamente i rispettivi fornitori o sviluppatori.
Come segnalare la vulnerabilità e ricevere i premi?
Usare la seguente chiave pubblica di crittografia PGP per crittografare l’e-mail e inviarla a security@qnap.com. Risponderemo appena possibile.
Formato suggerito per il rapporto sulle vulnerabilità
-
Sistemi operativi
-
Applicazioni
-
Servizi cloud
Chiave di crittografia PGP
Qualifiche per i premi
-
L’utente deve essere il primo ricercatore a segnalare le vulnerabilità.
-
L’utente non deve aver condiviso pubblicamente alcun file e/o informazioni relative alla vulnerabilità. Sono inclusi i caricamenti su siti Web pubblicamente accessibili.
-
La vulnerabilità segnalata deve essere confermata dal team QNAP PSIRT come verificabile, replicabile ed essere un problema valido per la sicurezza.
-
L’utente accetta tutti i termini e le condizioni del programma security bounty.
Il premio può avere un importo maggiore in base a:
-
Formato Integrità: Attenersi agli esempi di formato e fornire informazioni dettagliate quando si segnalano le vulnerabilità nei sistemi operativi, applicazioni o nei servizio cloud. Esempio di formato: Sistemi Operativi, Applicazioni, Servizi Cloud.
-
Passaggi per la riproduzione: Illustrare i passaggi per la riproduzione delle vulnerabilità.
-
Descrizione problema: Presentare in modo chiaro e conciso la risoluzione dei problemi e l'approccio.
-
Altre Informazioni di Supporto: Includere il codice di test, gli script e qualsiasi altra cosa necessaria per la spiegazione.
-
Dati Grezzi degli Attacchi (payload dell’exploit): Per garantire l'integrità dei dati è necessario un rapporto in forma di testo. Le valutazioni di vulnerabilità possono essere inferiori alle aspettative di QNAP PSIRT quando i payload di rete sono stati forniti solo in immagini.
Riconoscimento
Ringraziamo sinceramente tutti i ricercatori per la loro competenza e dedizione.
- Andr.Ess
- Himanshu Sondhi
- iothacker_dreamer
- pwnr
- Mohammad Abdullah - Infosec Researcher & Bugbounty hunter
- Nirob Sec
- Sajibe Kanti Sarkar
- 侯留洋
- CataLpa of Hatlab, Dbappsecurity Co. Ltd.
- coral
- huasheng_mangguo
- Nanyu Zhong @ VARAS IIE
- Searat and izut
- Yuze Wu(h1J4cker)
- TOUNSI2
- Ahmed Y. Elmogy.
- Amir Habeeb
- Karim Habeeb
- Corentin '@OnlyTheDuck' BAYET
- Sandro
- Tim Coen
- scsb2001
- Abhinav
- Aditya Singh
- Aksha Chudasama
- Akshay Shelke
- Amit Pandey
- Ashish Rai (octupus)
- Ashish Sharma
- BangBang
- Durvesh Kolhe
- Gaurang
- Gaurang maheta
- Ginikunta Vishal Goud
- Himanshu Sondhi
- Jainam Soni
- K.Buvaneshvaran
- Mangesh Muley
- Milan Solanki (LeoSecurity)
- PUSHKAR KUMAR
- Raj
- Rishyendra M
- S Rahul
- Saurabh Tripathi
- Vaibhav
- Vaibhav Shinde
- YASHU REDDY
- Amethama Luturmas
- Firdaus
- Drak3hft7
- Kazuma Matsumoto of GMO Cybersecurity by IERAE, Inc.
- JILALI SHADOW
- Marouane Mouhtadi (mar0uane)
- Hassaan Ahmed
- Insbat
- Zain Iqbal
- Aliz Hammond of watchTowr
- ZIEN
- Dohwan KIM (neko_hat from Chung-Ang UNIV.)
- Kasper Karlsson
- Kevin Chen
- LJP (DEVCORE Research Team)
- Engin Aydoğan
- Kutay Ergen
- Freddo Espresso (Evangelos Daravigkas)
- Michael Cowell
- Anonymous
- Christopher Anastasio / Fabius Watson
- Trend Micro Zero Day Initiative
- Víctor A. Morales
- Anh Nguyen Le Quoc (h4niz), Tri, Nguyen Huu (trinh), Quy, Cao Ngoc (quycn) of bl4ckh0l3 from Galaxy One
- binhnt
- hyc
- khoadha
- Le Mau Anh Phong at Verichains Cyber Force
- Long Hà
- q5ca, greengrass
FAQ
Il premio viene determinato in base alla complessità dello sfruttamento della vulnerabilità, la potenziale esposizione, e la percentuale di utenti e sistemi influenzati.
Se i video possono facilitare la comprensione del modo in cui le vulnerabilità vengono sfruttate, il comitato di premiazione di QNAP può decidere di aumentare la ricompensa. Si noti che è comunque necessario fornire una documentazione scritta (ad esempio, informazioni sul prodotto, riepilogo della vulnerabilità e passaggi per la riproduzione), in quanto aiuta a gestire il processo di divulgazione della vulnerabilità.
Un rapporto sulla vulnerabilità deve includere almeno le seguenti informazioni: il nome prodotto, la versione e il numero di build dove è stata rilevata la vulnerabilità, o la posizione URL per i servizi cloud.
Deve inoltre contenere un riepilogo delle potenziali minacce dovute alla vulnerabilità, oltre ai passaggi dettagliati per la replica. Inoltre, il rapporto può essere accompagnato da un video che dimostra la vulnerabilità.
Usare la chiave PGP fornita da QNAP per crittografare il rapporto e inviarlo a security@qnap.com. Il sistema risponderà automaticamente con un numero di assistenza tecnica che può essere utilizzato per verificare l'avanzamento della revisione. Il team PSIRT di QNAP si metterà proattivamente in contatto per verifica la completezza delle informazioni trasmesse. Se sono state fornite tutte le informazioni richieste, il ricercatore riceverà la lettera di conferma della vulnerabilità del PSIRT QNAP entro una settimana. La lettera includerà il CVE ID assegnato al problema di sicurezza segnalato. La proposta di premiazione sarà notificata per e-mail quattro settimane dopo la data della lettera di conferma della vulnerabilità. In caso di accettazione da parte del ricercatore, QNAP eseguirà il pagamento 12 settimane dopo la ricezione della risposta di conferma.
Iscriviti alle QNAP eNews per ricevere le ultime notizie sulla sicurezza dei prodotti
Sistemi operativi
Ricompense fino a 20.000 dollari USA
| Premi |
Rapporti sulla vulnerabilità della sicurezza confermata e valutata possono ricevere premi fino a 20.000 dollari |
|---|---|
| Prodotti compresi nello scopo |
Sono accettati solamente i rapporti su versioni rilasciate ufficialmente o versioni recenti di prodotti, applicazioni e servizi.
|
| Limitazioni |
Il programma Security Bounty è rigidamente limitato alle vulnerabilità trovate nei prodotti e servizi QNAP. Sono vietate azioni che potenzialmente possono danneggiare o avere effetti deleteri per i server QNAP o dati. Qualsiasi test della vulnerabilità non deve violare le leggi locali o taiwanesi. Non saranno accettati rapporti sulla vulnerabilità che descrivono o coinvolgono:
|
Applicazioni
Ricompense fino a 10.000 dollari USA
| Premi |
Rapporti sulla vulnerabilità della sicurezza confermata e valutata possono ricevere premi fino a 10.000 dollari |
|---|---|
| Prodotti compresi nello scopo |
Sono accettati solamente i rapporti su versioni rilasciate ufficialmente o versioni recenti di prodotti, applicazioni e servizi. Il programma accetta solamente i rapporti sulle vulnerabilità della sicurezza nelle seguenti applicazioni:
|
| Limitazioni |
Il programma Security Bounty è rigidamente limitato alle vulnerabilità trovate nei prodotti e servizi QNAP. Sono vietate azioni che potenzialmente possono danneggiare o avere effetti deleteri per i server QNAP o dati. Qualsiasi test della vulnerabilità non deve violare le leggi locali o taiwanesi. Non saranno accettati rapporti sulla vulnerabilità che descrivono o coinvolgono:
|
Servizi cloud
Ricompense fino a 5.000 dollari USA
| Premi |
Rapporti sulla vulnerabilità della sicurezza confermata e valutata possono ricevere premi fino a 5.000 dollari |
|---|---|
| Prodotti compresi nello scopo |
Sono accettati solamente i rapporti su versioni rilasciate ufficialmente o versioni recenti di prodotti, applicazioni e servizi. Il programma accetta solamente i rapporti sulle vulnerabilità della sicurezza nei seguenti domini:
|
| Limitazioni |
Il programma Security Bounty è rigidamente limitato alle vulnerabilità trovate nei prodotti e servizi QNAP. Sono vietate azioni che potenzialmente possono danneggiare o avere effetti deleteri per i server QNAP o dati. Qualsiasi test della vulnerabilità non deve violare le leggi locali o taiwanesi. Non saranno accettati rapporti sulla vulnerabilità che descrivono o coinvolgono:
|
Sistemi operativi
(i campi indicati da * sono obbligatori)
-
Prodotto*: Il nome del prodotto, ad esempio, QuTS hero
-
Versione*: La versione e il numero di build, ad esempio h5.0.1.2376 build 20230421
-
Riepilogo*: Nel formato “Un tipo di vulnerabilità nella posizione”, ad esempio Command Injection in abc.cgi
-
Autorizzazioni cartella*: Permessi di accesso una volta sfruttate le vulnerabilità. Ad esempio: None / Utente Normale / Gruppo Amministratore / Amministratore.
-
Motivazione: Perché si è iniziata una ricerca delle vulnerabilità?
-
Strumenti: Gli strumenti utilizzati durante la ricerca delle vulnerabilità.
-
Descrizione: Informazioni relative alla vulnerabilità
-
ad esempio:
-
Una breve descrizione del possibile danno
-
Analisi della vulnerabilità
-
Come può essere identificata la vulnerabilità
-
Gli strumenti utilizzati
-
-
CWE ID: CWE-XXX, CWE-YYY e così via
-
CAPEC ID: CAPEC-XXX, CAPEC-YYY e così via
-
Punteggio CVSS: CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), CVSS v3.1. Fare riferimento al Base Score Calculator https://cvss.js.org/
-
Passaggi per la riproduzione*: Istruzioni dettagliate per la riproduzione
-
Prova di Concetto: Eventuali video, schermate o exploits
Applicazioni
(i campi indicati da * sono obbligatori)
-
Applicazione*: Il nome dell’applicazione, ad esempio File Station
-
Versione*: La versione e il numero di build, ad esempio 2.0.2 (2022/01/26)
-
Riepilogo*: Nel formato “Un tipo di vulnerabilità nella posizione”, ad esempio Overflow buffer nell’app abc
-
Autorizzazioni cartella*: Permessi di accesso una volta sfruttate le vulnerabilità. Ad esempio: None / Utente Normale / Gruppo Amministratore / Amministratore.
-
Motivazione: Perché si è iniziata una ricerca delle vulnerabilità?
-
Strumenti: Gli strumenti utilizzati durante la ricerca delle vulnerabilità.
-
Descrizione: Informazioni relative alla vulnerabilità
-
ad esempio:
-
Una breve descrizione del possibile danno
-
Analisi della vulnerabilità
-
Come può essere identificata la vulnerabilità
-
Gli strumenti utilizzati
-
-
CWE ID: CWE-XXX, CWE-YYY e così via
-
CAPEC ID: CAPEC-XXX, CAPEC-YYY e così via
-
Punteggio CVSS: CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), CVSS v3.1. Fare riferimento al Base Score Calculator https://cvss.js.org/
-
Passaggi per la riproduzione*: Istruzioni dettagliate per la riproduzione
-
Prova di Concetto: Eventuali video, schermate o exploits
Servizi cloud
(i campi indicati da * sono obbligatori)
-
Dominio*: Il nome del dominio (ad esempio, https://account.qnap.com)
-
Riepilogo*: Nel formato “Un tipo di vulnerabilità nella posizione”, ad esempio XSS in https://account.qnap.com
-
Motivazione: Perché si è iniziata una ricerca delle vulnerabilità?
-
Strumenti: Gli strumenti utilizzati durante la ricerca delle vulnerabilità.
-
Descrizione: Informazioni relative alla vulnerabilità
-
ad esempio:
-
Una breve descrizione del possibile danno
-
Analisi della vulnerabilità
-
Come può essere identificata la vulnerabilità
-
Gli strumenti utilizzati
-
-
CWE ID: CWE-XXX, CWE-YYY e così via
-
CAPEC ID: CAPEC-XXX, CAPEC-YYY e così via
-
Punteggio CVSS: CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), CVSS v3.1. Fare riferimento al Base Score Calculator https://cvss.js.org/
-
Passaggi per la riproduzione*: Istruzioni dettagliate per la riproduzione
-
Prova di Concetto: Eventuali video, schermate o exploits
