Rapporteer beveiligingsproblemen in QNAP-producten
We stimuleren ontwikkelaars en geavanceerde gebruikers om potentiële of bevestigde kwetsbaarheden in de beveiliging van QNAP-producten te melden aan het Security Response Team. Gebruik de onderstaande openbare PGP-versleutelingscode om uw e-mailbericht te versleutelen en verzend het naar security@qnap.com.
Openbare PGP-versleutelingscode
We adviseren u om de onderstaande openbare PGP-versleutelingscode te gebruiken om uw e-mail te versleutelen voor het melden van beveiligingsproblemen aan QNAP.
Veelgestelde vragen
- Als u kwetsbaarheden in de beveiliging van QNAP-producten hebt aangetroffen.
- Wanneer u technische ondersteuning nodig hebt, zoals voor het configureren van een NAS, een systeemupdate en RMA-verzoeken
- Voor het melden van kwetsbaarheden die al openbaar zijn (zoals kwetsbaarheden die al in de Security Advisory staan vermeld)
- Voor technische ondersteuning voor het installeren van patches die zijn gepubliceerd in reactie op kwetsbaarheden in de beveiliging
- Voor het melden van kwetsbaarheden in producten van andere leveranciers of voor het vragen van informatie over kwetsbaarheden in producten van andere leveranciers
- Voor het melden van beveiligingskwetsbaarheden die op andere websites dan qnap.com zijn gevonden
- Voor advies over kwesties die niets te maken hebben met de productbeveiliging
- Voor het rapporteren van malware die op mobiele apparaten is aangetroffen
Voor de bovenstaande gevallen dient u contact op te nemen met het Technische Ondersteuning team van QNAP. Het team voor technische ondersteuning is bereikbaar via http://helpdesk.qnap.com/. Als het team voor technische ondersteuning dit noodzakelijk vindt, wordt de casus doorverwezen naar het Security Response Team.
- Als u ons wilt informeren over beveiligingskwetsbaarheden in producten van QNAP, verzoeken we u om zoveel mogelijk informatie op te nemen, zoals de modelnaam, versie van QTS/QES, de naam en versie van apps met beveiligingsproblemen, een beschrijving van kwetsbaarheden en volledige stappen om de kwetsbaarheid te reproduceren. Het is aan te bevelen om de openbare PGP-versleutelingscode die op deze pagina staat te gebruiken als u contact met QNAP opneemt, zodat de integriteit en vertrouwelijkheid van de e-mail worden gewaarborgd.
- Het QNAP Product Security incident Response Team zal de ontvangen informatie grondig analyseren en onderzoeken. Normaal gesproken bevestigen we de ontvangst van uw rapport binnen drie (3) werkdagen, waarna we het probleem dat u hebt gemeld onderzoeken en verifiëren. Zodra uw rapport beoordeeld en bevestigd is door QNAP, zal QNAP een patch (Qfix) of een bijgewerkte versie van relevante software uitbrengen, indien nodig. De patch en de bijgewerkte versie worden over het algemeen uitgebracht binnen negentig (90) dagen nadat u het rapport hebt ingediend. Afhankelijk van de complexiteit van het probleem kan echter extra tijd nodig zijn. Tevens wordt een bijbehorend Security Advisory-artikel gepubliceerd. Wij zullen nooit e-mailcorrespondentie of uw e-mailadres doorsturen naar derden. We zullen ook geen persoonlijke gegevens opvragen of openbaar maken die gebruikt kunnen worden om u te identificeren, waaronder uw identiteit, uw werk, machines die u gebruikt of configuraties die u hebt geïmplementeerd.
Om de kans te verkleinen dat gebruikers worden aangevallen door cybercriminelen, zal QNAP niet vooraf het bestaan van kwetsbaarheden aankondigen voordat patches of beveiligingsadviezen worden uitgegeven. Volg de aanbevelingen van QNAP om de netwerkbeveiliging te garanderen van de QNAP-producten die u gebruikt. Voor de QNAP-services die u gebruikt, dient u de beveiligingspatches en beveiligingsadviezen van de QNAP-website op te halen en de software tijdig en regelmatig bij te werken. QNAP raadt ook aan om u op de beveiligingsadviezen te abonneren om het laatste nieuws over productbeveiliging te ontvangen.
Voor de bescherming van onze klanten worden veiligheidsproblemen door QNAP niet vrijgegeven, besproken of bevestigd tot een onderzoek heeft plaatsgevonden en patches of releases algemeen beschikbaar zijn.
