Security Bounty-programma
QNAP richt zich zonder compromissen op informatiebeveiliging en werkt samen met de beveiligingsonderzoeksgemeenschap om kwetsbaarheden te identificeren en te repareren om onze gebruikers, producten en het internet veiliger te maken. Om degenen die hieraan hebben bijgedragen te bedanken, biedt QNAP beloningen aan via ons beveiligingsprogramma.
Omvang van het programma
Het Bounty-programma accepteert alleen Beveiliging kwetsbaarheidsrapporten die betrekking hebben op QNAP-producten en webdiensten. Alle Beveiliging rapporten die buiten de scope van dit programma vallen, komen niet in aanmerking voor beloningen. Dit programma accepteert of beloont geen Beveiliging kwetsbaarheden die zijn gevonden in software van derden (bijv. 3rd Party QPKG). Als u Beveiliging problemen ontdekt in dergelijke software, neem dan rechtstreeks contact op met de betreffende leveranciers of ontwikkelaars.
Hoe kan ik de kwetsbaarheid melden en een beloning ontvangen?
Gebruik de onderstaande openbare PGP-coderingssleutel om uw e-mail te coderen en te verzenden naar security@qnap.com. We nemen zo snel mogelijk contact met u op.
Indeling van het kwetsbaarheidrapport
-
Besturingssystemen
-
Toepassingen
-
Cloudservices
PGP-coderingssleutel
Kwalificaties voor beloning
-
U moet de eerste onderzoeker zijn die de kwetsbaarheden meldt.
-
U mag geen bestanden en/of details met betrekking tot het beveiligingslek openbaar hebben gedeeld. Dit geldt ook voor uploads naar openbaar toegankelijke websites.
-
Het QNAP PSIRT-team heeft bevestigd dat het gemelde beveiligingslek verifieerbaar, repliceerbaar en een geldig beveiligingsprobleem is.
-
U gaat akkoord met alle voorwaarden van het security bounty-programma.
De beloning kan worden verhoogd op basis van:
-
Integriteit van indeling: Houd u aan de voorbeelden van indelingen en geef gedetailleerde informatie bij het melden van beveiligingslekken in besturingssystemen, toepassingen of cloudservices. Voorbeelden van indelingen: Besturingssystemen, Toepassingen, Cloud Services.
-
Stappen om te reproduceren: Laat zien hoe u de beveiligingslekken kunt reproduceren.
-
Probleembeschrijvingen: Geef een duidelijke en beknopte presentatie van uw probleemoplossing en aanpak.
-
Overige ondersteunende informatie: Voeg testcode, scripts en alles wat nodig is voor uw uitleg toe.
-
Ruwe gegevens van aanvallen (payload exploiteren): Een rapport in tekstvorm is vereist om de gegevensintegriteit te waarborgen. Kwetsbaarheidsbeoordelingen kunnen niet voldoen aan de verwachtingen van QNAP PSIRT wanneer de netwerk payloads alleen in afbeeldingen werden verstrekt.
Bevestiging
Wij danken alle onderzoekers oprecht voor hun expertise en toewijding.
- Andr.Ess
- Himanshu Sondhi
- iothacker_dreamer
- pwnr
- Mohammad Abdullah - Infosec Researcher & Bugbounty hunter
- Nirob Sec
- Sajibe Kanti Sarkar
- 侯留洋
- CataLpa of Hatlab, Dbappsecurity Co. Ltd.
- coral
- huasheng_mangguo
- Nanyu Zhong @ VARAS IIE
- Searat and izut
- Yuze Wu(h1J4cker)
- TOUNSI2
- Ahmed Y. Elmogy.
- Amir Habeeb
- Karim Habeeb
- Corentin '@OnlyTheDuck' BAYET
- Sandro
- Tim Coen
- scsb2001
- Abhinav
- Aditya Singh
- Aksha Chudasama
- Akshay Shelke
- Amit Pandey
- Ashish Rai (octupus)
- Ashish Sharma
- BangBang
- Durvesh Kolhe
- Gaurang
- Gaurang maheta
- Ginikunta Vishal Goud
- Himanshu Sondhi
- Jainam Soni
- K.Buvaneshvaran
- Mangesh Muley
- Milan Solanki (LeoSecurity)
- PUSHKAR KUMAR
- Raj
- Rishyendra M
- S Rahul
- Saurabh Tripathi
- Vaibhav
- Vaibhav Shinde
- YASHU REDDY
- Amethama Luturmas
- Firdaus
- Drak3hft7
- Kazuma Matsumoto of GMO Cybersecurity by IERAE, Inc.
- JILALI SHADOW
- Marouane Mouhtadi (mar0uane)
- Hassaan Ahmed
- Insbat
- Zain Iqbal
- Aliz Hammond of watchTowr
- ZIEN
- Dohwan KIM (neko_hat from Chung-Ang UNIV.)
- Kasper Karlsson
- Kevin Chen
- LJP (DEVCORE Research Team)
- Engin Aydoğan
- Kutay Ergen
- Freddo Espresso (Evangelos Daravigkas)
- Michael Cowell
- Anonymous
- Christopher Anastasio / Fabius Watson
- Trend Micro Zero Day Initiative
- Víctor A. Morales
- Anh Nguyen Le Quoc (h4niz), Tri, Nguyen Huu (trinh), Quy, Cao Ngoc (quycn) of bl4ckh0l3 from Galaxy One
- binhnt
- hyc
- khoadha
- Le Mau Anh Phong at Verichains Cyber Force
- Long Hà
- q5ca, greengrass
Veelgestelde vragen
De beloning wordt bepaald door de complexiteit van het succesvol benutten van de kwetsbaarheid, de potentiële blootstelling en het percentage gebruikers en systemen waarop deze invloed heeft.
Als video's het voor ons gemakkelijker maken te begrijpen hoe kwetsbaarheden worden misbruikt, kan het QNAP-awardcomité de beloning verhogen. Hou er rekening mee dat er nog steeds schriftelijke documentatie moet worden verstrekt (bijvoorbeeld productinformatie, een samenvatting van de kwetsbaarheden en de stappen om te reproduceren), omdat dit helpt bij het beheren van het proces voor het vrijgeven van kwetsbaarheden.
Een kwetsbaarheidrapport moet ten minste de volgende informatie bevatten: de productnaam, versie en build-nummer waar het beveiligingslek bestaat, of de URL-locatie voor cloudservices.
Het moet ook een samenvatting bevatten van de potentiële bedreigingen die door de kwetsbaarheid worden veroorzaakt, samen met duidelijk gedetailleerde replicatiestappen. Bovendien kan het rapport vergezeld gaan van een video waarin de kwetsbaarheid wordt gedemonstreerd.
Gebruik de PGP-sleutel geleverd door QNAP om het rapport te coderen en te verzenden naar security@qnap.com. Het systeem reageert automatisch met een nummer voor technische ondersteuning, dat u kunt gebruiken om te informeren over de voortgang van de evaluatie. Het PSIRT-team van QNAP zal proactief contact met u opnemen om de integriteit van de ingediende informatie te bevestigen. Als alle vereiste informatie is verstrekt, ontvangt de onderzoeker binnen een week een bevestigingsbrief over de QNAP PSIRT-kwetsbaarheid. De brief bevat de toegewezen CVE-ID voor het gemelde beveiligingsprobleem. Het prijsvoorstel wordt vier weken na de datum van de bevestigingsbrief voor de kwetsbaarheid per e-mail opgestuurd. Als de onderzoeker het hiermee eens is, wordt verwacht dat QNAP de betaling 12 weken na ontvangst van de bevestigingsreactie zal verrichten.
Abonneer u op QNAP eNews om het laatste nieuws over productbeveiliging te ontvangen
Besturingssystemen
Beloningen tot $20.000
| Beloning |
Rapporten over bevestigde en beoordeelde kwetsbaarheden kunnen beloningen tot $20.000 ontvangen |
|---|---|
| Producten binnen het bereik |
Alleen rapporten over officieel uitgegeven en de nieuwste versies van producten, toepassingen en diensten worden geaccepteerd.
|
| Beperkingen |
Het Security Bounty-programma is strikt beperkt tot beveiligingslekken in QNAP-producten en -services. Handelingen die QNAP-servers of -gegevens kunnen beschadigen of nadelig kunnen beïnvloeden, zijn verboden. Eventuele kwetsbaarheidstests mogen geen inbreuk maken op lokale of Taiwanese wetten. Meldingen van kwetsbaarheden worden niet geaccepteerd als ze het volgende beschrijven of betreffen:
|
Toepassingen
Beloningen tot $10.000
| Beloning |
Rapporten over bevestigde en beoordeelde kwetsbaarheden kunnen beloningen tot $ 10.000 ontvangen |
|---|---|
| Producten binnen het bereik |
Alleen rapporten over officieel uitgegeven en de nieuwste versies van producten, toepassingen en diensten worden geaccepteerd. Het programma accepteert alleen meldingen van beveiligingslekken in de volgende toepassingen:
|
| Beperkingen |
Het Security Bounty-programma is strikt beperkt tot beveiligingslekken in QNAP-producten en -services. Handelingen die QNAP-servers of -gegevens kunnen beschadigen of nadelig kunnen beïnvloeden, zijn verboden. Eventuele kwetsbaarheidstests mogen geen inbreuk maken op lokale of Taiwanese wetten. Meldingen van kwetsbaarheden worden niet geaccepteerd als ze het volgende beschrijven of betreffen:
|
Cloudservices
Beloningen tot $5.000
| Beloning |
Rapporten over bevestigde en beoordeelde kwetsbaarheden kunnen beloningen tot $ 5.000 ontvangen |
|---|---|
| Producten binnen het bereik |
Alleen rapporten over officieel uitgegeven en de nieuwste versies van producten, toepassingen en diensten worden geaccepteerd. Het programma accepteert alleen meldingen van beveiligingslekken in de volgende domeinen:
|
| Beperkingen |
Het Security Bounty-programma is strikt beperkt tot beveiligingslekken in QNAP-producten en -services. Handelingen die QNAP-servers of -gegevens kunnen beschadigen of nadelig kunnen beïnvloeden, zijn verboden. Eventuele kwetsbaarheidstests mogen geen inbreuk maken op lokale of Taiwanese wetten. Meldingen van kwetsbaarheden worden niet geaccepteerd als ze het volgende beschrijven of betreffen:
|
Besturingssystemen
(velden met een * zijn verplicht)
-
Product*: De productnaam, bijvoorbeeld QuTS hero
-
Versie*: De versie en het build-nummer, bijvoorbeeld h5.0.1.2376 build 20230421
-
Samenvatting*: Uitgedrukt als “Een type beveiligingslek in”, bijvoorbeeld, Command Injection in abc.cgi
-
Toegangsmachtigingen*: De toegangsmachtigingen wanneer u de beveiligingslekken onderzoekt. Bijvoorbeeld: Geen / Normale gebruiker / Beheerdersgroep / Beheerder
-
Motivatie: Waarom start u het onderzoek naar beveiligingslekken?
-
Hulpprogramma’s: De hulpprogramma’s die u gebruikt tijdens het onderzoek naar kwetsbaarheden.
-
Beschrijving: Informatie met betrekking tot het beveiligingslek
-
bijvoorbeeld:
-
Een korte beschrijving van de mogelijke schade
-
Analyse van het beveiligingslek
-
Hoe het beveiligingslek kan worden geïdentificeerd
-
De gebruikte gereedschappen
-
-
CWE-ID(s): CWE-XXX, CWE-YYY, enzovoort
-
CAPEC-ID(s): CAPEC-XXX, CAPEC-YYY, enzovoort
-
CVSS-score: CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), CVSS V3.1., raadpleeg de basisscore-calculator https://cvss.js.org/
-
Stappen om te reproduceren*: Stapsgewijze instructies om te reproduceren
-
Bewijs van het concept: video's, screenshots of exploits
Toepassingen
(velden met een * zijn verplicht)
-
Toepassing*: De naam van de toepassing, bijvoorbeeld File Station
-
Versie*: Het versie- en build-nummer, bijvoorbeeld 2.0.2 ( 2022/01/26 )
-
Samenvatting*: Uitgedrukt als “Een type beveiligingslek in”, bijvoorbeeld, bufferoverflow in de app abc
-
Toegangsmachtigingen*: De toegangsmachtigingen wanneer u de beveiligingslekken onderzoekt. Bijvoorbeeld: Geen / Normale gebruiker / Beheerdersgroep / Beheerder
-
Motivatie: Waarom start u het onderzoek naar beveiligingslekken?
-
Hulpprogramma’s: De hulpprogramma’s die u gebruikt tijdens het onderzoek naar kwetsbaarheden.
-
Beschrijving: Informatie met betrekking tot het beveiligingslek
-
bijvoorbeeld:
-
Een korte beschrijving van de mogelijke schade
-
Analyse van het beveiligingslek
-
Hoe het beveiligingslek kan worden geïdentificeerd
-
De gebruikte gereedschappen
-
-
CWE-ID(s): CWE-XXX, CWE-YYY, enzovoort
-
CAPEC-ID(s): CAPEC-XXX, CAPEC-YYY, enzovoort
-
CVSS-score: CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), CVSS V3.1., raadpleeg de basisscore-calculator https://cvss.js.org/
-
Stappen om te reproduceren*: Stapsgewijze instructies om te reproduceren
-
Bewijs van het concept: video's, screenshots of exploits
Cloudservices
(velden met een * zijn verplicht)
-
Domein*: De domeinnaam (bijvoorbeeld https://account.qnap.com)
-
Samenvatting*: Uitgedrukt als “Een type beveiligingslek in”, bijvoorbeeld, XSS op https://account.qnap.com
-
Motivatie: Waarom start u het onderzoek naar beveiligingslekken?
-
Hulpprogramma’s: De hulpprogramma’s die u gebruikt tijdens het onderzoek naar kwetsbaarheden.
-
Beschrijving: Informatie met betrekking tot het beveiligingslek
-
bijvoorbeeld:
-
Een korte beschrijving van de mogelijke schade
-
Analyse van het beveiligingslek
-
Hoe het beveiligingslek kan worden geïdentificeerd
-
De gebruikte gereedschappen
-
-
CWE-ID(s): CWE-XXX, CWE-YYY, enzovoort
-
CAPEC-ID(s): CAPEC-XXX, CAPEC-YYY, enzovoort
-
CVSS-score: CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), CVSS V3.1., raadpleeg de basisscore-calculator https://cvss.js.org/
-
Stappen om te reproduceren*: Stapsgewijze instructies om te reproduceren
-
Bewijs van het concept: video's, screenshots of exploits
