Program Security Bounty
Firma QNAP bezkompromisowo angażuje się w sprawy bezpieczeństwa informacji i współpracuje ze społecznością zajmującą się badaniami w zakresie bezpieczeństwa w celu identyfikacji i usuwania luk w zabezpieczeniach, aby zapewnić bezpieczeństwo naszych użytkowników, produktów i Internetu. Aby podziękować tym, którzy wnieśli swój wkład, firma QNAP wręcza nagrody w ramach naszego programu Security Bounty.
Zakres programu
Program Bounty akceptuje wyłącznie zgłoszenia dotyczące podatności Zabezpieczenia związanych z produktami i usługami internetowymi QNAP. Wszelkie zgłoszenia Zabezpieczenia wykraczające poza zakres tego programu nie będą kwalifikować się do nagród. Program ten nie akceptuje ani nie nagradza podatności Zabezpieczenia znalezionych w oprogramowaniu firm trzecich (np. zewnętrzne QPKG). Jeśli odkryjesz problemy Zabezpieczenia w takim oprogramowaniu, skontaktuj się bezpośrednio z odpowiednimi dostawcami lub deweloperami.
Jak zgłosić lukę w zabezpieczeniach i otrzymać nagrodę?
Zaszyfruj swoją wiadomość e-mail poniższym kluczem publicznym PGP i wyślij ją na adres security@qnap.com. Odpowiemy jak tylko będzie to możliwe.
Sugerowany format raportu dotyczącego luk
-
Systemy operacyjne
-
Aplikacje
-
Usługi chmurowe
Klucz szyfrowania PGP
Kryteria kwalifikacji do zdobycia nagrody
-
Zgłaszane luki w zabezpieczeniach nie mogły być zgłoszone już wcześniej.
-
Użytkownik nie może publicznie udostępniać żadnych plików i/lub szczegółów związanych ze zgłaszaną luką. Dotyczy to również przesyłania plików do wszelkich publicznie dostępnych witryn internetowych.
-
Zespół QNAP PSIRT potwierdzi, że zgłoszona luka jest weryfikowalna, możliwa do odtworzenia i stanowi istotny problem bezpieczeństwa.
-
Użytkownik zgadza się na wszystkie warunki programu Security Bounty.
Wartość nagrody może być zwiększona w oparciu o:
-
Integralność formatów: Podczas zgłaszania luk w systemach operacyjnych, aplikacjach lub usługach chmurowych należy zachować zgodność z przykładowymi formatami i podawać szczegółowe informacje. Przykładowe formaty: Systemy operacyjne, Aplikacje, Usługi chmurowe.
-
Kroki do odtworzenia: Przedstaw czynności wykonywane w celu odtworzenia luk.
-
Opisy problemów: Jasno i zwięźle przedstaw swoje rozwiązania i metodę rozwiązania problemu.
-
Inne przydatne informacje: Dołącz kod testowy, skrypty i wszystko, co jest wymagane do wyjaśnienia.
-
Dane Raw dotyczące ataków (obciążenie exploitami): W celu zapewnienia integralności danych wymagany jest raport tekstowy. Jeśli obciążenia sieci zostały przedstawione tylko w postaci obrazów, oceny luk mogą nie spełnić wymogów QNAP PSIRT.
Podziękowanie
Szczerze dziękujemy wszystkim badaczom za ich wiedzę i zaangażowanie.
- Andr.Ess
- Himanshu Sondhi
- iothacker_dreamer
- pwnr
- Mohammad Abdullah - Infosec Researcher & Bugbounty hunter
- Nirob Sec
- Sajibe Kanti Sarkar
- 侯留洋
- CataLpa of Hatlab, Dbappsecurity Co. Ltd.
- coral
- huasheng_mangguo
- Nanyu Zhong @ VARAS IIE
- Searat and izut
- Yuze Wu(h1J4cker)
- TOUNSI2
- Ahmed Y. Elmogy.
- Amir Habeeb
- Karim Habeeb
- Corentin '@OnlyTheDuck' BAYET
- Sandro
- Tim Coen
- scsb2001
- Abhinav
- Aditya Singh
- Aksha Chudasama
- Akshay Shelke
- Amit Pandey
- Ashish Rai (octupus)
- Ashish Sharma
- BangBang
- Durvesh Kolhe
- Gaurang
- Gaurang maheta
- Ginikunta Vishal Goud
- Himanshu Sondhi
- Jainam Soni
- K.Buvaneshvaran
- Mangesh Muley
- Milan Solanki (LeoSecurity)
- PUSHKAR KUMAR
- Raj
- Rishyendra M
- S Rahul
- Saurabh Tripathi
- Vaibhav
- Vaibhav Shinde
- YASHU REDDY
- Amethama Luturmas
- Firdaus
- Drak3hft7
- Kazuma Matsumoto of GMO Cybersecurity by IERAE, Inc.
- JILALI SHADOW
- Marouane Mouhtadi (mar0uane)
- Hassaan Ahmed
- Insbat
- Zain Iqbal
- Aliz Hammond of watchTowr
- ZIEN
- Dohwan KIM (neko_hat from Chung-Ang UNIV.)
- Kasper Karlsson
- Kevin Chen
- LJP (DEVCORE Research Team)
- Engin Aydoğan
- Kutay Ergen
- Freddo Espresso (Evangelos Daravigkas)
- Michael Cowell
- Anonymous
- Christopher Anastasio / Fabius Watson
- Trend Micro Zero Day Initiative
- Víctor A. Morales
- Anh Nguyen Le Quoc (h4niz), Tri, Nguyen Huu (trinh), Quy, Cao Ngoc (quycn) of bl4ckh0l3 from Galaxy One
- binhnt
- hyc
- khoadha
- Le Mau Anh Phong at Verichains Cyber Force
- Long Hà
- q5ca, greengrass
Często zadawane pytania
Wysokość nagrody jest określana na podstawie złożoności skutecznego wykorzystania luki, potencjalnego narażenia na atak oraz odsetka użytkowników i systemów, których ona dotyczy.
Jeśli filmy wideo ułatwią nam zrozumienie, w jaki sposób wykorzystywane są luki w zabezpieczeniach, komisja ds. nagród QNAP może w rezultacie zwiększyć wartość nagrody. Należy pamiętać, że mimo to należy dostarczyć pisemną dokumentację (np. informacje o produkcie, podsumowanie informacji o luce i kroki do odtworzenia), ponieważ pomoże to w zarządzaniu procesem ujawniania luki.
Raport o luce musi zawierać co najmniej poniższe informacje: nazwę produktu, wersję i numer kompilacji, w której występuje luka, lub lokalizację adresu URL dla usług w chmurze.
Powinien również zawierać podsumowanie potencjalnych zagrożeń stwarzanych przez lukę, wraz z jasno określonymi krokami replikacji. Dodatkowo, do raportu może być dołączony film przedstawiający lukę w zabezpieczeniach.
Przy użyciu Klucza PGP zapewnionego przez firmę QNAP zaszyfruj raport i wyślij go na adres security@qnap.com. System automatycznie poda numer zgłoszenia pomocy technicznej, przy użyciu którego można zapytać o postęp weryfikacji. Zespół PSIRT firmy QNAP będzie proaktywnie kontaktował się z użytkownikiem, który wykrył lukę, w celu weryfikacji integralności przesłanych informacji. Jeśli wszystkie wymagane informacje zostały podane użytkownik, który wykrył lukę, w ciągu tygodnia otrzyma list potwierdzający podatność na ataki QNAP PSIRT. List będzie zawierał przypisany identyfikator CVE dla zgłoszonego błędu bezpieczeństwa. Propozycja nagrody zostanie przekazana pocztą elektroniczną cztery tygodnie po dacie listu potwierdzającego podatność. Jeśli użytkownik, który wykrył lukę, wyrazi zgodę, firma QNAP dokona płatności 12 tygodni po otrzymaniu odpowiedzi potwierdzającej.
Subskrybuj QNAP eNews, aby otrzymywać najnowsze informacje na temat bezpieczeństwa produktów
Systemy operacyjne
Nagrody w wysokości do 20.000 USD
| Nagroda |
Potwierdzone i ocenione raporty dotyczące luk w zabezpieczeniach mogą zostać nagrodzone kwotą do 20.000 USD |
|---|---|
| Oferowane produkty |
Przyjmowane są wyłącznie zgłoszenia dotyczące oficjalnie wydanych i najnowszych wersji produktów, aplikacji i usług.
|
| Ograniczenia |
Program Security Bounty dotyczy wyłącznie luk w zabezpieczeniach produktów i usług firmy QNAP. Zabronione są działania, które mogą potencjalnie uszkodzić lub negatywnie wpłynąć na serwery QNAP lub dane. Testowanie podatności na zagrożenia nie może naruszać lokalnych lub tajwańskich przepisów prawa. Raporty dotyczące podatności na zagrożenia nie są akceptowane, jeśli opisują lub obejmują:
|
Aplikacje
Nagrody w wysokości do 10.000 USD
| Nagroda |
Potwierdzone i ocenione raporty dotyczące luk w zabezpieczeniach mogą zostać nagrodzone kwotą do 10.000 USD |
|---|---|
| Oferowane produkty |
Przyjmowane są wyłącznie zgłoszenia dotyczące oficjalnie wydanych i najnowszych wersji produktów, aplikacji i usług. W programie tym akceptowane są tylko zgłoszenia dotyczące luk w zabezpieczeniach wyłącznie w następujących aplikacjach:
|
| Ograniczenia |
Program Security Bounty dotyczy wyłącznie luk w zabezpieczeniach produktów i usług firmy QNAP. Zabronione są działania, które mogą potencjalnie uszkodzić lub negatywnie wpłynąć na serwery QNAP lub dane. Testowanie podatności na zagrożenia nie może naruszać lokalnych lub tajwańskich przepisów prawa. Raporty dotyczące podatności na zagrożenia nie są akceptowane, jeśli opisują lub obejmują:
|
Usługi chmurowe
Nagrody w wysokości do 5.000 USD
| Nagroda |
Potwierdzone i ocenione raporty dotyczące luk w zabezpieczeniach mogą zostać nagrodzone kwotą do 5.000 USD |
|---|---|
| Oferowane produkty |
Przyjmowane są wyłącznie zgłoszenia dotyczące oficjalnie wydanych i najnowszych wersji produktów, aplikacji i usług. W programie tym akceptowane są tylko zgłoszenia dotyczące luk w zabezpieczeniach wyłącznie w następujących domenach:
|
| Ograniczenia |
Program Security Bounty dotyczy wyłącznie luk w zabezpieczeniach produktów i usług firmy QNAP. Zabronione są działania, które mogą potencjalnie uszkodzić lub negatywnie wpłynąć na serwery QNAP lub dane. Testowanie podatności na zagrożenia nie może naruszać lokalnych lub tajwańskich przepisów prawa. Raporty dotyczące podatności na zagrożenia nie są akceptowane, jeśli opisują lub obejmują:
|
Systemy operacyjne
(pola oznaczone * są obowiązkowe)
-
Produkt*: Nazwa produktu, np. QuTS hero
-
Wersja*: Numer wersji i kompilacji, np. h5.0.1.2376 kompilacja 20230421
-
Podsumowanie*: W formacie „Typ luki w lokalizacji”, np. Wstrzykiwanie poleceń w abc.cgi
-
Uprawnienia dostępu*: Uprawnienia dostępu w przypadku wykorzystania luk. Na przykład: Brak / Użytkownik regularny / Grupa administratorów / Administrator.
-
Motywacja: Jaki jest powód rozpoczęcia analizy luk w zabezpieczeniach?
-
Narzędzia: Narzędzia, z których korzystasz podczas analizy luk.
-
Opis: Informacje dotyczące luki
-
na przykład:
-
Krótki opis możliwej szkody
-
Analiza luki
-
Sposób identyfikacji luki
-
Wykorzystane narzędzia
-
-
Identyfikator(y) CWE: CWE-XXX, CWE-YYY itd.
-
Identyfikator(y) CAPEC: CAPEC-XXX, CAPEC-YYY itd.
-
Wynik CVSS: CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), CVSS v3.1., Zapoznaj się z Kalkulatorem podstawowego wyniku https://cvss.js.org/
-
Kroki do odtworzenia*: Szczegółowe instrukcje w celu odtworzenia
-
Dowód konceptu: Wszelkie obrazy wideo, zrzuty ekranów lub exploity
Aplikacje
(pola oznaczone * są obowiązkowe)
-
Aplikacja*: Nazwa aplikacji, np. File Station
-
Wersja*: Numer wersji i kompilacji, np. 2.0.2 (2022/01/26)
-
Podsumowanie*: W formacie „Typ luki w lokalizacji”, np. Przepełnienie buforu w aplikacji abc
-
Uprawnienia dostępu*: Uprawnienia dostępu w przypadku wykorzystania luk. Na przykład: Brak / Użytkownik regularny / Grupa administratorów / Administrator.
-
Motywacja: Jaki jest powód rozpoczęcia analizy luk w zabezpieczeniach?
-
Narzędzia: Narzędzia, z których korzystasz podczas analizy luk.
-
Opis: Informacje dotyczące luki
-
na przykład:
-
Krótki opis możliwej szkody
-
Analiza luki
-
Sposób identyfikacji luki
-
Wykorzystane narzędzia
-
-
Identyfikator(y) CWE: CWE-XXX, CWE-YYY itd.
-
Identyfikator(y) CAPEC: CAPEC-XXX, CAPEC-YYY itd.
-
Wynik CVSS: CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), CVSS v3.1., Zapoznaj się z Kalkulatorem podstawowego wyniku https://cvss.js.org/
-
Kroki do odtworzenia*: Szczegółowe instrukcje w celu odtworzenia
-
Dowód konceptu: Wszelkie obrazy wideo, zrzuty ekranów lub exploity
Usługi chmurowe
(pola oznaczone * są obowiązkowe)
-
Domena*: Nazwa domeny (np. https://account.qnap.com)
-
Podsumowanie*: W formacie „Typ luki w lokalizacji”, np. XSS na stronie https://account.qnap.com
-
Motywacja: Jaki jest powód rozpoczęcia analizy luk w zabezpieczeniach?
-
Narzędzia: Narzędzia, z których korzystasz podczas analizy luk.
-
Opis: Informacje dotyczące luki
-
na przykład:
-
Krótki opis możliwej szkody
-
Analiza luki
-
Sposób identyfikacji luki
-
Wykorzystane narzędzia
-
-
Identyfikator(y) CWE: CWE-XXX, CWE-YYY itd.
-
Identyfikator(y) CAPEC: CAPEC-XXX, CAPEC-YYY itd.
-
Wynik CVSS: CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), CVSS v3.1., Zapoznaj się z Kalkulatorem podstawowego wyniku https://cvss.js.org/
-
Kroki do odtworzenia*: Szczegółowe instrukcje w celu odtworzenia
-
Dowód konceptu: Wszelkie obrazy wideo, zrzuty ekranów lub exploity
