Security Bounty-programma

QNAP richt zich zonder compromissen op informatiebeveiliging en werkt samen met de beveiligingsonderzoeksgemeenschap om kwetsbaarheden te identificeren en te repareren om onze gebruikers, producten en het internet veiliger te maken. Om degenen die hieraan hebben bijgedragen te bedanken, biedt QNAP beloningen aan via ons beveiligingsprogramma.

Omvang van het programma

Ons Security Bounty-programma accepteert alleen beveiligingslekken in QNAP-producten en -services. Beveiligingslekken die buiten het bereik vallen, komen niet in aanmerking voor een beloning, met uitzonderingen van rapporten die buiten het bereik vallen van kritieke beveiligingslekken, afhankelijk van de situatie.

Besturingssystemen

Omvat QTS, QuTS hero, QuTScloud

Meer informatie
Toepassingen

Omvat door QNAP ontwikkelde toepassingen

Meer informatie
Cloudservices

Omvat cloudservices die worden geleverd door QNAP

Meer informatie

Hoe kan ik de kwetsbaarheid melden en een beloning ontvangen?

Gebruik de onderstaande openbare PGP-coderingssleutel om uw e-mail te coderen en te verzenden naar security@qnap.com. We nemen zo snel mogelijk contact met u op.

Indeling van het kwetsbaarheidrapport

Besturingssystemen

voorbeeld van indeling
Toepassingen

voorbeeld van indeling
Cloudservices

voorbeeld van indeling

PGP-coderingssleutel

Kopieer de PGP-coderingssleutel

Een kwetsbaarheid melden

Kwalificaties voor beloning

U moet de eerste onderzoeker zijn die de kwetsbaarheden meldt.
U mag geen bestanden en/of details met betrekking tot het beveiligingslek openbaar hebben gedeeld. Dit geldt ook voor uploads naar openbaar toegankelijke websites.
Het QNAP PSIRT-team heeft bevestigd dat het gemelde beveiligingslek verifieerbaar, repliceerbaar en een geldig beveiligingsprobleem is.
U gaat akkoord met alle voorwaarden van het security bounty-programma.

De beloning kan worden verhoogd op basis van:

Integriteit van indeling: Houd u aan de voorbeelden van indelingen en geef gedetailleerde informatie bij het melden van beveiligingslekken in besturingssystemen, toepassingen of cloudservices. Voorbeelden van indelingen: Besturingssystemen, Toepassingen, Cloud Services.
Stappen om te reproduceren: Laat zien hoe u de beveiligingslekken kunt reproduceren.
Probleembeschrijvingen: Geef een duidelijke en beknopte presentatie van uw probleemoplossing en aanpak.
Overige ondersteunende informatie: Voeg testcode, scripts en alles wat nodig is voor uw uitleg toe.
Ruwe gegevens van aanvallen (payload exploiteren): Een rapport in tekstvorm is vereist om de gegevensintegriteit te waarborgen. Kwetsbaarheidsbeoordelingen kunnen niet voldoen aan de verwachtingen van QNAP PSIRT wanneer de netwerk payloads alleen in afbeeldingen werden verstrekt.

Veelgestelde vragen

Hoe wordt de beloning bepaald?

De beloning wordt bepaald door de complexiteit van het succesvol benutten van de kwetsbaarheid, de potentiële blootstelling en het percentage gebruikers en systemen waarop deze invloed heeft.

Kan ik een video-proefconcept indienen?

Als video's het voor ons gemakkelijker maken te begrijpen hoe kwetsbaarheden worden misbruikt, kan het QNAP-awardcomité de beloning verhogen. Hou er rekening mee dat er nog steeds schriftelijke documentatie moet worden verstrekt (bijvoorbeeld productinformatie, een samenvatting van de kwetsbaarheden en de stappen om te reproduceren), omdat dit helpt bij het beheren van het proces voor het vrijgeven van kwetsbaarheden.

Welke informatie moet worden opgenomen in een kwetsbaarheidrapport?

Een kwetsbaarheidrapport moet ten minste de volgende informatie bevatten: de productnaam, versie en build-nummer waar het beveiligingslek bestaat, of de URL-locatie voor cloudservices.
Het moet ook een samenvatting bevatten van de potentiële bedreigingen die door de kwetsbaarheid worden veroorzaakt, samen met duidelijk gedetailleerde replicatiestappen. Bovendien kan het rapport vergezeld gaan van een video waarin de kwetsbaarheid wordt gedemonstreerd.

Hoe weet ik of mijn inzending is ontvangen door QNAP?

Gebruik de PGP-sleutel geleverd door QNAP om het rapport te coderen en te verzenden naar security@qnap.com. Het systeem reageert automatisch met een nummer voor technische ondersteuning, dat u kunt gebruiken om te informeren over de voortgang van de evaluatie. Het PSIRT-team van QNAP zal proactief contact met u opnemen om de integriteit van de ingediende informatie te bevestigen. Als alle vereiste informatie is verstrekt, ontvangt de onderzoeker binnen een week een bevestigingsbrief over de QNAP PSIRT-kwetsbaarheid. De brief bevat de toegewezen CVE-ID voor het gemelde beveiligingsprobleem. Het prijsvoorstel wordt vier weken na de datum van de bevestigingsbrief voor de kwetsbaarheid per e-mail opgestuurd. Als de onderzoeker het hiermee eens is, wordt verwacht dat QNAP de betaling 12 weken na ontvangst van de bevestigingsreactie zal verrichten.

Abonneer u op QNAP eNews om het laatste nieuws over productbeveiliging te ontvangen

Neem nu een abonnement Een diepgaand beveiligingsadvies

Besturingssystemen

Beloningen tot $20.000

Beloning	Rapporten over bevestigde en beoordeelde kwetsbaarheden kunnen beloningen tot $20.000 ontvangen
Producten binnen het bereik	Alleen rapporten over officieel uitgegeven en de nieuwste versies van producten, toepassingen en diensten worden geaccepteerd. QTS 5.2.0 (en later) QuTS hero h5.2.0 (en later) QuTScloud c5.1.0 (en later)
Beperkingen	Het Security Bounty-programma is strikt beperkt tot beveiligingslekken in QNAP-producten en -services. Handelingen die QNAP-servers of -gegevens kunnen beschadigen of nadelig kunnen beïnvloeden, zijn verboden. Eventuele kwetsbaarheidstests mogen geen inbreuk maken op lokale of Taiwanese wetten. Meldingen van kwetsbaarheden worden niet geaccepteerd als ze het volgende beschrijven of betreffen: DOS-aanvallen (Denial of Service) op QNAP- of gebruikersservers. Kwetsbaarheidstests die de servers van QNAP of van gebruikers kunnen beschadigen. Fysieke aanvallen of social engineering. Openbaarmaking van beveiligingslekken voordat QNAP goedkeuring heeft gegeven. Niet-kritieke kwetsbaarheden in verouderde services of producten. Kwetsbaarheden die alleen van invloed zijn op verouderde webbrowsers. De meeste soorten brute force-aanvallen. Kwetsbaarheden met betrekking tot phishing, het maken van een fake website of frauduleus gedrag. Rapporten over beveiligingsproblemen die geen details bevatten over de invloed van beveiligingslekken. Rapporten met onthulde/niet-onthulde kwetsbaarheden in open-source software. Kwetsbaarheden in gebruikersregistratiedomeinen (bijvoorbeeld: myqnapcloud.com subdomeinen)

Beloning

Rapporten over bevestigde en beoordeelde kwetsbaarheden kunnen beloningen tot $20.000 ontvangen

Producten binnen het bereik

Alleen rapporten over officieel uitgegeven en de nieuwste versies van producten, toepassingen en diensten worden geaccepteerd.

QTS 5.2.0 (en later)
QuTS hero h5.2.0 (en later)
QuTScloud c5.1.0 (en later)

Beperkingen

Het Security Bounty-programma is strikt beperkt tot beveiligingslekken in QNAP-producten en -services. Handelingen die QNAP-servers of -gegevens kunnen beschadigen of nadelig kunnen beïnvloeden, zijn verboden. Eventuele kwetsbaarheidstests mogen geen inbreuk maken op lokale of Taiwanese wetten.

Meldingen van kwetsbaarheden worden niet geaccepteerd als ze het volgende beschrijven of betreffen:

DOS-aanvallen (Denial of Service) op QNAP- of gebruikersservers.
Kwetsbaarheidstests die de servers van QNAP of van gebruikers kunnen beschadigen.
Fysieke aanvallen of social engineering.
Openbaarmaking van beveiligingslekken voordat QNAP goedkeuring heeft gegeven.
Niet-kritieke kwetsbaarheden in verouderde services of producten.
Kwetsbaarheden die alleen van invloed zijn op verouderde webbrowsers.
De meeste soorten brute force-aanvallen.
Kwetsbaarheden met betrekking tot phishing, het maken van een fake website of frauduleus gedrag.
Rapporten over beveiligingsproblemen die geen details bevatten over de invloed van beveiligingslekken.
Rapporten met onthulde/niet-onthulde kwetsbaarheden in open-source software.
Kwetsbaarheden in gebruikersregistratiedomeinen (bijvoorbeeld: myqnapcloud.com subdomeinen)

Toepassingen

Beloningen tot $10.000

Beloning	Rapporten over bevestigde en beoordeelde kwetsbaarheden kunnen beloningen tot $ 10.000 ontvangen
Producten binnen het bereik	Alleen rapporten over officieel uitgegeven en de nieuwste versies van producten, toepassingen en diensten worden geaccepteerd. Het programma accepteert alleen meldingen van beveiligingslekken in de volgende toepassingen: Helpdesk Licentiecentrum Malware Remover myQNAPcloud Link Netwerk en virtuele switch Meldingscentrum QTS SSL-certificaat QuLog Center Resource monitor Qsync Central HBS 3 Hybrid Backup Sync Qboost Multimedia Console Media streaming add-on QVPN-service Virtualization Station Container Station QuFirewall Download Station Video Station Photo Station QuMagie
Beperkingen	Het Security Bounty-programma is strikt beperkt tot beveiligingslekken in QNAP-producten en -services. Handelingen die QNAP-servers of -gegevens kunnen beschadigen of nadelig kunnen beïnvloeden, zijn verboden. Eventuele kwetsbaarheidstests mogen geen inbreuk maken op lokale of Taiwanese wetten. Meldingen van kwetsbaarheden worden niet geaccepteerd als ze het volgende beschrijven of betreffen: DOS-aanvallen (Denial of Service) op QNAP- of gebruikersservers. Kwetsbaarheidstests die de servers van QNAP of van gebruikers kunnen beschadigen. Fysieke aanvallen of social engineering. Openbaarmaking van beveiligingslekken voordat QNAP goedkeuring heeft gegeven. Niet-kritieke kwetsbaarheden in verouderde services of producten. Kwetsbaarheden die alleen van invloed zijn op verouderde webbrowsers. De meeste soorten brute force-aanvallen. Kwetsbaarheden met betrekking tot phishing, het maken van een fake website of frauduleus gedrag. Rapporten over beveiligingsproblemen die geen details bevatten over de invloed van beveiligingslekken. Rapporten met onthulde/niet-onthulde kwetsbaarheden in open-source software. Kwetsbaarheden in gebruikersregistratiedomeinen (bijvoorbeeld: myqnapcloud.com subdomeinen)

Beloning

Rapporten over bevestigde en beoordeelde kwetsbaarheden kunnen beloningen tot $ 10.000 ontvangen

Producten binnen het bereik

Alleen rapporten over officieel uitgegeven en de nieuwste versies van producten, toepassingen en diensten worden geaccepteerd.

Het programma accepteert alleen meldingen van beveiligingslekken in de volgende toepassingen:

Helpdesk
Licentiecentrum
Malware Remover
myQNAPcloud Link
Netwerk en virtuele switch
Meldingscentrum
QTS SSL-certificaat
QuLog Center
Resource monitor
Qsync Central
HBS 3 Hybrid Backup Sync
Qboost
Multimedia Console
Media streaming add-on
QVPN-service
Virtualization Station
Container Station
QuFirewall
Download Station
Video Station
Photo Station
QuMagie

Beperkingen

Meldingen van kwetsbaarheden worden niet geaccepteerd als ze het volgende beschrijven of betreffen:

DOS-aanvallen (Denial of Service) op QNAP- of gebruikersservers.
Kwetsbaarheidstests die de servers van QNAP of van gebruikers kunnen beschadigen.
Fysieke aanvallen of social engineering.
Openbaarmaking van beveiligingslekken voordat QNAP goedkeuring heeft gegeven.
Niet-kritieke kwetsbaarheden in verouderde services of producten.
Kwetsbaarheden die alleen van invloed zijn op verouderde webbrowsers.
De meeste soorten brute force-aanvallen.
Kwetsbaarheden met betrekking tot phishing, het maken van een fake website of frauduleus gedrag.
Rapporten over beveiligingsproblemen die geen details bevatten over de invloed van beveiligingslekken.
Rapporten met onthulde/niet-onthulde kwetsbaarheden in open-source software.
Kwetsbaarheden in gebruikersregistratiedomeinen (bijvoorbeeld: myqnapcloud.com subdomeinen)

Cloudservices

Beloningen tot $5.000

Beloning	Rapporten over bevestigde en beoordeelde kwetsbaarheden kunnen beloningen tot $ 5.000 ontvangen
Producten binnen het bereik	Alleen rapporten over officieel uitgegeven en de nieuwste versies van producten, toepassingen en diensten worden geaccepteerd. Het programma accepteert alleen meldingen van beveiligingslekken in de volgende domeinen: www.myqnapcloud.com (exclusief subdomeinen voor gebruikersregistratie) organization.qnap.com (inclusief subdomeinen) amizcloud.qnap.com (inclusief subdomeinen) license.qnap.com (inclusief subdomeinen) www.qmiix.com (inclusief subdomeinen) account.qnap.com (inclusief subdomeinen) quwan.qnap.com (inclusief subdomeinen)
Beperkingen	Het Security Bounty-programma is strikt beperkt tot beveiligingslekken in QNAP-producten en -services. Handelingen die QNAP-servers of -gegevens kunnen beschadigen of nadelig kunnen beïnvloeden, zijn verboden. Eventuele kwetsbaarheidstests mogen geen inbreuk maken op lokale of Taiwanese wetten. Meldingen van kwetsbaarheden worden niet geaccepteerd als ze het volgende beschrijven of betreffen: DOS-aanvallen (Denial of Service) op QNAP- of gebruikersservers. Kwetsbaarheidstests die de servers van QNAP of van gebruikers kunnen beschadigen. Fysieke aanvallen of social engineering. Openbaarmaking van beveiligingslekken voordat QNAP goedkeuring heeft gegeven. Niet-kritieke kwetsbaarheden in verouderde services of producten. Kwetsbaarheden die alleen van invloed zijn op verouderde webbrowsers. De meeste soorten brute force-aanvallen. Kwetsbaarheden met betrekking tot phishing, het maken van een fake website of frauduleus gedrag. Rapporten over beveiligingsproblemen die geen details bevatten over de invloed van beveiligingslekken. Rapporten met onthulde/niet-onthulde kwetsbaarheden in open-source software. Kwetsbaarheden in gebruikersregistratiedomeinen (bijvoorbeeld: myqnapcloud.com subdomeinen)

Beloning

Rapporten over bevestigde en beoordeelde kwetsbaarheden kunnen beloningen tot $ 5.000 ontvangen

Producten binnen het bereik

Alleen rapporten over officieel uitgegeven en de nieuwste versies van producten, toepassingen en diensten worden geaccepteerd.

Het programma accepteert alleen meldingen van beveiligingslekken in de volgende domeinen:

www.myqnapcloud.com (exclusief subdomeinen voor gebruikersregistratie)
organization.qnap.com (inclusief subdomeinen)
amizcloud.qnap.com (inclusief subdomeinen)
license.qnap.com (inclusief subdomeinen)
www.qmiix.com (inclusief subdomeinen)
account.qnap.com (inclusief subdomeinen)
quwan.qnap.com (inclusief subdomeinen)

Beperkingen

Meldingen van kwetsbaarheden worden niet geaccepteerd als ze het volgende beschrijven of betreffen:

DOS-aanvallen (Denial of Service) op QNAP- of gebruikersservers.
Kwetsbaarheidstests die de servers van QNAP of van gebruikers kunnen beschadigen.
Fysieke aanvallen of social engineering.
Openbaarmaking van beveiligingslekken voordat QNAP goedkeuring heeft gegeven.
Niet-kritieke kwetsbaarheden in verouderde services of producten.
Kwetsbaarheden die alleen van invloed zijn op verouderde webbrowsers.
De meeste soorten brute force-aanvallen.
Kwetsbaarheden met betrekking tot phishing, het maken van een fake website of frauduleus gedrag.
Rapporten over beveiligingsproblemen die geen details bevatten over de invloed van beveiligingslekken.
Rapporten met onthulde/niet-onthulde kwetsbaarheden in open-source software.
Kwetsbaarheden in gebruikersregistratiedomeinen (bijvoorbeeld: myqnapcloud.com subdomeinen)

Opslag

Netwerken

Uitbreidingsaccessoires

Bewaking

NAS

Netwerken

Bewaking

Omvang van het programma

Besturingssystemen

Toepassingen

Cloudservices

Hoe kan ik de kwetsbaarheid melden en een beloning ontvangen?

Indeling van het kwetsbaarheidrapport

Besturingssystemen

Toepassingen

Cloudservices

PGP-coderingssleutel

Kwalificaties voor beloning

De beloning kan worden verhoogd op basis van:

Veelgestelde vragen