Security Bounty Program

QNAP si impegna costantemente nel garantire la sicurezza delle informazioni e collabora con la comunità di ricerca sulla sicurezza per identificare e correggere le vulnerabilità per mantenere i nostri utenti, prodotti e Internet al sicuro. Per ringraziare per questi contributi, QNAP offre dei premi tramite il nostro programma Security Bounty.

Scopo del programma

Il nostro programma Security Bounty accetta solamente le vulnerabilità della sicurezza nei prodotti e servizi QNAP. Le vulnerabilità non incluse nello scopo non saranno premiate, ad eccezione per le segnalazioni non incluse nello scopo che presentano vulnerabilità importanti in base alla situazione.

Sistemi operativi

Include QTS, QuTS hero, QuTScloud

Per saperne di più
Applicazioni

Include le applicazioni sviluppate da QNAP

Per saperne di più
Servizi cloud

Include i servizi cloud offerti da QNAP

Per saperne di più

Come segnalare la vulnerabilità e ricevere i premi?

Usare la seguente chiave pubblica di crittografia PGP per crittografare l’e-mail e inviarla a security@qnap.com. Risponderemo appena possibile.

Formato suggerito per il rapporto sulle vulnerabilità

Sistemi operativi

esempio di formato
Applicazioni

esempio di formato
Servizi cloud

esempio di formato

Chiave di crittografia PGP

Copia chiave di crittografia PGP

Segnala vulnerabilità

Qualifiche per i premi

L’utente deve essere il primo ricercatore a segnalare le vulnerabilità.
L’utente non deve aver condiviso pubblicamente alcun file e/o informazioni relative alla vulnerabilità. Sono inclusi i caricamenti su siti Web pubblicamente accessibili.
La vulnerabilità segnalata deve essere confermata dal team QNAP PSIRT come verificabile, replicabile ed essere un problema valido per la sicurezza.
L’utente accetta tutti i termini e le condizioni del programma security bounty.

Il premio può avere un importo maggiore in base a:

Formato Integrità: Attenersi agli esempi di formato e fornire informazioni dettagliate quando si segnalano le vulnerabilità nei sistemi operativi, applicazioni o nei servizio cloud. Esempio di formato: Sistemi Operativi, Applicazioni, Servizi Cloud.
Passaggi per la riproduzione: Illustrare i passaggi per la riproduzione delle vulnerabilità.
Descrizione problema: Presentare in modo chiaro e conciso la risoluzione dei problemi e l'approccio.
Altre Informazioni di Supporto: Includere il codice di test, gli script e qualsiasi altra cosa necessaria per la spiegazione.
Dati Grezzi degli Attacchi (payload dell’exploit): Per garantire l'integrità dei dati è necessario un rapporto in forma di testo. Le valutazioni di vulnerabilità possono essere inferiori alle aspettative di QNAP PSIRT quando i payload di rete sono stati forniti solo in immagini.

FAQ

Come viene determinato il premio per la segnalazione?

Il premio viene determinato in base alla complessità dello sfruttamento della vulnerabilità, la potenziale esposizione, e la percentuale di utenti e sistemi influenzati.

È possibile provare una prova di concetto in formato video?

Se i video possono facilitare la comprensione del modo in cui le vulnerabilità vengono sfruttate, il comitato di premiazione di QNAP può decidere di aumentare la ricompensa. Si noti che è comunque necessario fornire una documentazione scritta (ad esempio, informazioni sul prodotto, riepilogo della vulnerabilità e passaggi per la riproduzione), in quanto aiuta a gestire il processo di divulgazione della vulnerabilità.

Quali informazioni devono essere incluse in un rapporto sulla vulnerabilità?

Un rapporto sulla vulnerabilità deve includere almeno le seguenti informazioni: il nome prodotto, la versione e il numero di build dove è stata rilevata la vulnerabilità, o la posizione URL per i servizi cloud.
Deve inoltre contenere un riepilogo delle potenziali minacce dovute alla vulnerabilità, oltre ai passaggi dettagliati per la replica. Inoltre, il rapporto può essere accompagnato da un video che dimostra la vulnerabilità.

Come sapere se l’invio è stato ricevuto da QNAP?

Usare la chiave PGP fornita da QNAP per crittografare il rapporto e inviarlo a security@qnap.com. Il sistema risponderà automaticamente con un numero di assistenza tecnica che può essere utilizzato per verificare l'avanzamento della revisione. Il team PSIRT di QNAP si metterà proattivamente in contatto per verifica la completezza delle informazioni trasmesse. Se sono state fornite tutte le informazioni richieste, il ricercatore riceverà la lettera di conferma della vulnerabilità del PSIRT QNAP entro una settimana. La lettera includerà il CVE ID assegnato al problema di sicurezza segnalato. La proposta di premiazione sarà notificata per e-mail quattro settimane dopo la data della lettera di conferma della vulnerabilità. In caso di accettazione da parte del ricercatore, QNAP eseguirà il pagamento 12 settimane dopo la ricezione della risposta di conferma.

Iscriviti alle QNAP eNews per ricevere le ultime notizie sulla sicurezza dei prodotti

Sottoscrivi ora Un'analisi approfondita di Security Advisory

Sistemi operativi

Ricompense fino a 20.000 dollari USA

Premi	Rapporti sulla vulnerabilità della sicurezza confermata e valutata possono ricevere premi fino a 20.000 dollari
Prodotti compresi nello scopo	Sono accettati solamente i rapporti su versioni rilasciate ufficialmente o versioni recenti di prodotti, applicazioni e servizi. QTS 5.2.0 (e successivi) QuTS hero h5.2.0 (e successivi) QuTScloud c5.1.0 (e successivi)
Limitazioni	Il programma Security Bounty è rigidamente limitato alle vulnerabilità trovate nei prodotti e servizi QNAP. Sono vietate azioni che potenzialmente possono danneggiare o avere effetti deleteri per i server QNAP o dati. Qualsiasi test della vulnerabilità non deve violare le leggi locali o taiwanesi. Non saranno accettati rapporti sulla vulnerabilità che descrivono o coinvolgono: Attacchi DoS (Denial of Service) su server QNAP o utente. Test della vulnerabilità che possono danneggiare i server di QNAP o server utente. Attacchi fisici o social engineering. Divulgazione delle vulnerabilità alla sicurezza prima dell’approvazione di QNAP. Vulnerabilità non critiche in servizi o prodotti non aggiornati. Vulnerabilità che coinvolgono solo browser Web non aggiornati. Diversi tipi di attacchi di forza bruta. Vulnerabilità che coinvolgono phishing, creazione di siti Web fake o comportamento fraudolento. Rapporti di scansione della vulnerabilità della sicurezza che non includono i dettagli sull’impatto della vulnerabilità. Rapporti di vulnerabilità indicate/non indicate in software open-source. Vulnerabilità nei domini di registrazione dell’utente (ad esempio i domini myqnapcloud.com)

Premi

Rapporti sulla vulnerabilità della sicurezza confermata e valutata possono ricevere premi fino a 20.000 dollari

Prodotti compresi nello scopo

Sono accettati solamente i rapporti su versioni rilasciate ufficialmente o versioni recenti di prodotti, applicazioni e servizi.

QTS 5.2.0 (e successivi)
QuTS hero h5.2.0 (e successivi)
QuTScloud c5.1.0 (e successivi)

Limitazioni

Il programma Security Bounty è rigidamente limitato alle vulnerabilità trovate nei prodotti e servizi QNAP. Sono vietate azioni che potenzialmente possono danneggiare o avere effetti deleteri per i server QNAP o dati. Qualsiasi test della vulnerabilità non deve violare le leggi locali o taiwanesi.

Non saranno accettati rapporti sulla vulnerabilità che descrivono o coinvolgono:

Attacchi DoS (Denial of Service) su server QNAP o utente.
Test della vulnerabilità che possono danneggiare i server di QNAP o server utente.
Attacchi fisici o social engineering.
Divulgazione delle vulnerabilità alla sicurezza prima dell’approvazione di QNAP.
Vulnerabilità non critiche in servizi o prodotti non aggiornati.
Vulnerabilità che coinvolgono solo browser Web non aggiornati.
Diversi tipi di attacchi di forza bruta.
Vulnerabilità che coinvolgono phishing, creazione di siti Web fake o comportamento fraudolento.
Rapporti di scansione della vulnerabilità della sicurezza che non includono i dettagli sull’impatto della vulnerabilità.
Rapporti di vulnerabilità indicate/non indicate in software open-source.
Vulnerabilità nei domini di registrazione dell’utente (ad esempio i domini myqnapcloud.com)

Applicazioni

Ricompense fino a 10.000 dollari USA

Premi	Rapporti sulla vulnerabilità della sicurezza confermata e valutata possono ricevere premi fino a 10.000 dollari
Prodotti compresi nello scopo	Sono accettati solamente i rapporti su versioni rilasciate ufficialmente o versioni recenti di prodotti, applicazioni e servizi. Il programma accetta solamente i rapporti sulle vulnerabilità della sicurezza nelle seguenti applicazioni: Helpdesk License Center Malware Remover myQNAPcloud Link Rete e switch virtuale Centro notifica Certificato SSL QTS QuLog Center Monitor risorse Qsync Central HBS 3 Hybrid Backup Sync Qboost Mulitimedia Console Media Streaming Add-On Servizio QVPN Virtualization Station Container Station QuFirewall Download Station Video Station Photo Station QuMagie
Limitazioni	Il programma Security Bounty è rigidamente limitato alle vulnerabilità trovate nei prodotti e servizi QNAP. Sono vietate azioni che potenzialmente possono danneggiare o avere effetti deleteri per i server QNAP o dati. Qualsiasi test della vulnerabilità non deve violare le leggi locali o taiwanesi. Non saranno accettati rapporti sulla vulnerabilità che descrivono o coinvolgono: Attacchi DoS (Denial of Service) su server QNAP o utente. Test della vulnerabilità che possono danneggiare i server di QNAP o server utente. Attacchi fisici o social engineering. Divulgazione delle vulnerabilità alla sicurezza prima dell’approvazione di QNAP. Vulnerabilità non critiche in servizi o prodotti non aggiornati. Vulnerabilità che coinvolgono solo browser Web non aggiornati. Diversi tipi di attacchi di forza bruta. Vulnerabilità che coinvolgono phishing, creazione di siti Web fake o comportamento fraudolento. Rapporti di scansione della vulnerabilità della sicurezza che non includono i dettagli sull’impatto della vulnerabilità. Rapporti di vulnerabilità indicate/non indicate in software open-source. Vulnerabilità nei domini di registrazione dell’utente (ad esempio i domini myqnapcloud.com)

Premi

Rapporti sulla vulnerabilità della sicurezza confermata e valutata possono ricevere premi fino a 10.000 dollari

Prodotti compresi nello scopo

Sono accettati solamente i rapporti su versioni rilasciate ufficialmente o versioni recenti di prodotti, applicazioni e servizi.

Il programma accetta solamente i rapporti sulle vulnerabilità della sicurezza nelle seguenti applicazioni:

Helpdesk
License Center
Malware Remover
myQNAPcloud Link
Rete e switch virtuale
Centro notifica
Certificato SSL QTS
QuLog Center
Monitor risorse
Qsync Central
HBS 3 Hybrid Backup Sync
Qboost
Mulitimedia Console
Media Streaming Add-On
Servizio QVPN
Virtualization Station
Container Station
QuFirewall
Download Station
Video Station
Photo Station
QuMagie

Limitazioni

Non saranno accettati rapporti sulla vulnerabilità che descrivono o coinvolgono:

Attacchi DoS (Denial of Service) su server QNAP o utente.
Test della vulnerabilità che possono danneggiare i server di QNAP o server utente.
Attacchi fisici o social engineering.
Divulgazione delle vulnerabilità alla sicurezza prima dell’approvazione di QNAP.
Vulnerabilità non critiche in servizi o prodotti non aggiornati.
Vulnerabilità che coinvolgono solo browser Web non aggiornati.
Diversi tipi di attacchi di forza bruta.
Vulnerabilità che coinvolgono phishing, creazione di siti Web fake o comportamento fraudolento.
Rapporti di scansione della vulnerabilità della sicurezza che non includono i dettagli sull’impatto della vulnerabilità.
Rapporti di vulnerabilità indicate/non indicate in software open-source.
Vulnerabilità nei domini di registrazione dell’utente (ad esempio i domini myqnapcloud.com)

Servizi cloud

Ricompense fino a 5.000 dollari USA

Premi	Rapporti sulla vulnerabilità della sicurezza confermata e valutata possono ricevere premi fino a 5.000 dollari
Prodotti compresi nello scopo	Sono accettati solamente i rapporti su versioni rilasciate ufficialmente o versioni recenti di prodotti, applicazioni e servizi. Il programma accetta solamente i rapporti sulle vulnerabilità della sicurezza nei seguenti domini: www.myqnapcloud.com (esclusi i sottodomini di registrazione utente) organization.qnap.com (include i sottodomini) amizcloud.qnap.com (include i sottodomini) license.qnap.com (include i sottodomini) www.qmiix.com (include i sottodomini) account.qnap.com (include i sottodomini) quwan.qnap.com (include i sottodomini)
Limitazioni	Il programma Security Bounty è rigidamente limitato alle vulnerabilità trovate nei prodotti e servizi QNAP. Sono vietate azioni che potenzialmente possono danneggiare o avere effetti deleteri per i server QNAP o dati. Qualsiasi test della vulnerabilità non deve violare le leggi locali o taiwanesi. Non saranno accettati rapporti sulla vulnerabilità che descrivono o coinvolgono: Attacchi DoS (Denial of Service) su server QNAP o utente. Test della vulnerabilità che possono danneggiare i server di QNAP o server utente. Attacchi fisici o social engineering. Divulgazione delle vulnerabilità alla sicurezza prima dell’approvazione di QNAP. Vulnerabilità non critiche in servizi o prodotti non aggiornati. Vulnerabilità che coinvolgono solo browser Web non aggiornati. Diversi tipi di attacchi di forza bruta. Vulnerabilità che coinvolgono phishing, creazione di siti Web fake o comportamento fraudolento. Rapporti di scansione della vulnerabilità della sicurezza che non includono i dettagli sull’impatto della vulnerabilità. Rapporti di vulnerabilità indicate/non indicate in software open-source. Vulnerabilità nei domini di registrazione dell’utente (ad esempio i domini myqnapcloud.com)

Premi

Rapporti sulla vulnerabilità della sicurezza confermata e valutata possono ricevere premi fino a 5.000 dollari

Prodotti compresi nello scopo

Sono accettati solamente i rapporti su versioni rilasciate ufficialmente o versioni recenti di prodotti, applicazioni e servizi.

Il programma accetta solamente i rapporti sulle vulnerabilità della sicurezza nei seguenti domini:

www.myqnapcloud.com (esclusi i sottodomini di registrazione utente)
organization.qnap.com (include i sottodomini)
amizcloud.qnap.com (include i sottodomini)
license.qnap.com (include i sottodomini)
www.qmiix.com (include i sottodomini)
account.qnap.com (include i sottodomini)
quwan.qnap.com (include i sottodomini)

Limitazioni

Non saranno accettati rapporti sulla vulnerabilità che descrivono o coinvolgono:

Attacchi DoS (Denial of Service) su server QNAP o utente.
Test della vulnerabilità che possono danneggiare i server di QNAP o server utente.
Attacchi fisici o social engineering.
Divulgazione delle vulnerabilità alla sicurezza prima dell’approvazione di QNAP.
Vulnerabilità non critiche in servizi o prodotti non aggiornati.
Vulnerabilità che coinvolgono solo browser Web non aggiornati.
Diversi tipi di attacchi di forza bruta.
Vulnerabilità che coinvolgono phishing, creazione di siti Web fake o comportamento fraudolento.
Rapporti di scansione della vulnerabilità della sicurezza che non includono i dettagli sull’impatto della vulnerabilità.
Rapporti di vulnerabilità indicate/non indicate in software open-source.
Vulnerabilità nei domini di registrazione dell’utente (ad esempio i domini myqnapcloud.com)

NAS

Rete

Sorveglianza

Scopo del programma

Sistemi operativi

Applicazioni

Servizi cloud

Come segnalare la vulnerabilità e ricevere i premi?

Formato suggerito per il rapporto sulle vulnerabilità

Sistemi operativi

Applicazioni

Servizi cloud

Chiave di crittografia PGP