Programa de recompensas de segurança

A QNAP tem um compromisso intransigente com a segurança da informação e estabeleceu parcerias com a comunidade de investigação de segurança a fim de identificar e corrigir vulnerabilidades com o intuito de manter os nossos utilizadores, produtos e a internet mais seguros. A QNAP procura agradecer aos que contribuem, através da oferta de recompensas do programa de recompensas de segurança.

Âmbito do programa

O nosso programa de recompensas de segurança só aceita vulnerabilidades de segurança em produtos e serviços da QNAP. As vulnerabilidades fora do âmbito não serão elegíveis para recompensa, com exceções feitas para relatórios fora de âmbito de vulnerabilidades críticas, dependendo da situação.

Sistemas operativos

Inclui QTS, QuTS hero, QuTScloud

Mais informações
Aplicações

Inclui aplicações desenvolvidas pela QNAP

Mais informações
Serviços em nuvem

Inclui serviços em nuvem fornecidos pela QNAP

Mais informações

Como denunciar a vulnerabilidade e obter recompensas?

Utilize a chave pública de encriptação PGP abaixo para encriptar o seu e-mail e enviá-lo para security@qnap.com. Contactá-lo-emos o mais brevemente possível.

Formato sugerido para o relatório de vulnerabilidade

Sistemas operativos

exemplo de formato
Aplicações

exemplo de formato
Serviços em nuvem

exemplo de formato

Chave de encriptação PGP

Copiar chave de encriptação PGP

Comunicar vulnerabilidade

Qualificações para recompensas

Deve ser o primeiro investigador a comunicar as vulnerabilidades.
Não deve ter partilhado publicamente quaisquer ficheiros e/ou pormenores relacionados com a vulnerabilidade. Isto inclui carregamentos para quaisquer websites acessíveis ao público.
A vulnerabilidade comunicada é confirmada como verificável, replicável e um problema de segurança válido pela equipa PSIRT da QNAP.
Concorda com todos os termos e condições do programa de recompensas de segurança.

A recompensa pode ser aumentada com base na:

Integridade do formato: Cumpra os exemplos de formato e forneça informações pormenorizadas ao comunicar vulnerabilidades em sistemas operativos, aplicações ou serviços em nuvem. Exemplos de formato: Sistemas operativos, Aplicações, Serviços em nuvem.
Passos para a reprodução: Demonstre os seus passos para reproduzir as vulnerabilidades.
Descrição do problema: Apresente de forma clara e concisa a forma como resolveria o problema e a sua abordagem.
Outras informações de apoio: Inclua código de teste, scripts e tudo o que for necessário para a sua explicação.
Dados brutos dos ataques (payload do exploit): É necessário um relatório em forma de texto para garantir a integridade dos dados. As avaliações de vulnerabilidade podem ficar aquém das expectativas da equipa PSIRT da QNAP quando as cargas úteis da rede são fornecidas apenas em imagens.

Perguntas frequentes

De que forma é determinada a recompensa?

A recompensa é determinada pela complexidade de exploração bem-sucedida da vulnerabilidade, da exposição potencial e da percentagem de utilizadores e sistemas afetados.

Posso enviar uma prova de conceito em vídeo?

Se os vídeos facilitarem a compreensão da forma como as vulnerabilidades são exploradas, o comité de atribuição de prémios da QNAP poderá aumentar a recompensa. Tenha em conta que deve continuar a ser fornecida documentação escrita (por exemplo, informações sobre o produto, resumo da vulnerabilidade e passos para a sua reprodução), uma vez que ajuda a gerir o processo de divulgação da vulnerabilidade.

Que informações devem ser incluídas num relatório de vulnerabilidade?

Um relatório de vulnerabilidade deve incluir, pelo menos, as seguintes informações: o nome do produto, a versão e o número da compilação em que a vulnerabilidade existe, ou a localização do URL para os serviços em nuvem.
Deve também fornecer um resumo das potenciais ameaças colocadas pela vulnerabilidade, juntamente com passos de replicação cuidadosamente detalhados. Além disso, o relatório pode ser acompanhado de um vídeo que demonstre a vulnerabilidade.

Como sei se o meu envio foi recebido pela QNAP?

Utilize a chave PGP fornecida pela QNAP para encriptar o relatório e envie-o para security@qnap.com. O sistema responderá automaticamente com um número de assistência técnica, que pode utilizar para obter informações sobre o progresso da revisão. A equipa PSIRT da QNAP entrará proativamente em contacto com o investigador para verificar se as informações apresentadas estão completas. Se todas as informações necessárias tiverem sido fornecidas, o investigador receberá uma carta de confirmação de vulnerabilidade da equipa PSIRT da QNAP no prazo de uma semana. A carta incluirá a ID CVE atribuída ao problema de segurança comunicado. A proposta de atribuição de prémio será enviada por e-mail quatro semanas após a data da carta de confirmação da vulnerabilidade. Se o investigador concordar, a QNAP deverá efetuar o pagamento 12 semanas após a receção da resposta de confirmação.

Subscreva a QNAP eNews para receber as notícias mais recentes sobre segurança dos produtos

Subscreva agora Uma análise aprofundada do mundo do Aconselhamento de segurança

Sistemas operativos

Recompensas até 20 000 USD

Recompensa	Relatórios de vulnerabilidade de segurança confirmados e classificados podem receber recompensas até 20 000 USD
Produtos dentro do âmbito	Só são aceites relatórios sobre produtos, aplicações e serviços oficialmente lançados e as suas versões mais recentes. QTS 5.2.0 (e posterior) QuTS hero h5.2.0 (e posterior) QuTScloud c5.1.0 (e posterior)
Restrições	O programa de recompensas de segurança é estritamente limitado às vulnerabilidades encontradas nos produtos e serviços da QNAP. São proibidas ações que possam danificar ou afetar negativamente os servidores ou dados da QNAP. Os testes de vulnerabilidade não devem violar as leis locais ou de Taiwan. Não são aceites relatórios de vulnerabilidade se descreverem ou envolverem: Ataques DoS (Denial of Service) a servidores da QNAP ou de utilizadores. Testes de vulnerabilidade que possam danificar os servidores da QNAP ou de utilizadores. Ataques físicos ou engenharia social. Divulgação de vulnerabilidades de segurança antes da aprovação pela QNAP. Vulnerabilidades não críticas em serviços ou produtos desatualizados. Vulnerabilidades que afetem apenas browsers web desatualizados. A maioria dos tipos de ataque de força bruta. Vulnerabilidades que envolvam phishing, criação de um website falso ou comportamento fraudulento. Relatórios de análises de vulnerabilidades de segurança que não incluam pormenores sobre o impacto das vulnerabilidades. Relatórios de vulnerabilidade de software de código aberto revelados/não revelados. Vulnerabilidades nos domínios de registo de utilizadores (por exemplo: subdomínios myqnapcloud.com)

Recompensa

Relatórios de vulnerabilidade de segurança confirmados e classificados podem receber recompensas até 20 000 USD

Produtos dentro do âmbito

Só são aceites relatórios sobre produtos, aplicações e serviços oficialmente lançados e as suas versões mais recentes.

QTS 5.2.0 (e posterior)
QuTS hero h5.2.0 (e posterior)
QuTScloud c5.1.0 (e posterior)

Restrições

O programa de recompensas de segurança é estritamente limitado às vulnerabilidades encontradas nos produtos e serviços da QNAP. São proibidas ações que possam danificar ou afetar negativamente os servidores ou dados da QNAP. Os testes de vulnerabilidade não devem violar as leis locais ou de Taiwan.

Não são aceites relatórios de vulnerabilidade se descreverem ou envolverem:

Ataques DoS (Denial of Service) a servidores da QNAP ou de utilizadores.
Testes de vulnerabilidade que possam danificar os servidores da QNAP ou de utilizadores.
Ataques físicos ou engenharia social.
Divulgação de vulnerabilidades de segurança antes da aprovação pela QNAP.
Vulnerabilidades não críticas em serviços ou produtos desatualizados.
Vulnerabilidades que afetem apenas browsers web desatualizados.
A maioria dos tipos de ataque de força bruta.
Vulnerabilidades que envolvam phishing, criação de um website falso ou comportamento fraudulento.
Relatórios de análises de vulnerabilidades de segurança que não incluam pormenores sobre o impacto das vulnerabilidades.
Relatórios de vulnerabilidade de software de código aberto revelados/não revelados.
Vulnerabilidades nos domínios de registo de utilizadores (por exemplo: subdomínios myqnapcloud.com)

Aplicações

Recompensas até 10 000 USD

Recompensa	Relatórios de vulnerabilidade de segurança confirmados e classificados podem receber recompensas até 10 000 USD
Produtos dentro do âmbito	Só são aceites relatórios sobre produtos, aplicações e serviços oficialmente lançados e as suas versões mais recentes. O programa só aceita relatórios de vulnerabilidades de segurança nas seguintes aplicações: Helpdesk License Center Malware Remover myQNAPcloud Link Rede e Switch Virtual Centro de Notificação Certificado SSL QTS QuLog Center Monitor de recursos Qsync Central HBS 3 Hybrid Backup Sync Qboost Multimedia Console Suplemento de transmissão em fluxo multimédia QVPN Service Virtualization Station Container Station QuFirewall Download Station Video Station Photo Station QuMagie
Restrições	O programa de recompensas de segurança é estritamente limitado às vulnerabilidades encontradas nos produtos e serviços da QNAP. São proibidas ações que possam danificar ou afetar negativamente os servidores ou dados da QNAP. Os testes de vulnerabilidade não devem violar as leis locais ou de Taiwan. Não são aceites relatórios de vulnerabilidade se descreverem ou envolverem: Ataques DoS (Denial of Service) a servidores da QNAP ou de utilizadores. Testes de vulnerabilidade que possam danificar os servidores da QNAP ou de utilizadores. Ataques físicos ou engenharia social. Divulgação de vulnerabilidades de segurança antes da aprovação pela QNAP. Vulnerabilidades não críticas em serviços ou produtos desatualizados. Vulnerabilidades que afetem apenas browsers web desatualizados. A maioria dos tipos de ataque de força bruta. Vulnerabilidades que envolvam phishing, criação de um website falso ou comportamento fraudulento. Relatórios de análises de vulnerabilidades de segurança que não incluam pormenores sobre o impacto das vulnerabilidades. Relatórios de vulnerabilidade de software de código aberto revelados/não revelados. Vulnerabilidades nos domínios de registo de utilizadores (por exemplo: subdomínios myqnapcloud.com)

Recompensa

Relatórios de vulnerabilidade de segurança confirmados e classificados podem receber recompensas até 10 000 USD

Produtos dentro do âmbito

Só são aceites relatórios sobre produtos, aplicações e serviços oficialmente lançados e as suas versões mais recentes.

O programa só aceita relatórios de vulnerabilidades de segurança nas seguintes aplicações:

Helpdesk
License Center
Malware Remover
myQNAPcloud Link
Rede e Switch Virtual
Centro de Notificação
Certificado SSL QTS
QuLog Center
Monitor de recursos
Qsync Central
HBS 3 Hybrid Backup Sync
Qboost
Multimedia Console
Suplemento de transmissão em fluxo multimédia
QVPN Service
Virtualization Station
Container Station
QuFirewall
Download Station
Video Station
Photo Station
QuMagie

Restrições

Não são aceites relatórios de vulnerabilidade se descreverem ou envolverem:

Ataques DoS (Denial of Service) a servidores da QNAP ou de utilizadores.
Testes de vulnerabilidade que possam danificar os servidores da QNAP ou de utilizadores.
Ataques físicos ou engenharia social.
Divulgação de vulnerabilidades de segurança antes da aprovação pela QNAP.
Vulnerabilidades não críticas em serviços ou produtos desatualizados.
Vulnerabilidades que afetem apenas browsers web desatualizados.
A maioria dos tipos de ataque de força bruta.
Vulnerabilidades que envolvam phishing, criação de um website falso ou comportamento fraudulento.
Relatórios de análises de vulnerabilidades de segurança que não incluam pormenores sobre o impacto das vulnerabilidades.
Relatórios de vulnerabilidade de software de código aberto revelados/não revelados.
Vulnerabilidades nos domínios de registo de utilizadores (por exemplo: subdomínios myqnapcloud.com)

Serviços em nuvem

Recompensas até 5000 USD

Recompensa	Relatórios de vulnerabilidade de segurança confirmados e classificados podem receber recompensas até 5000 USD
Produtos dentro do âmbito	Só são aceites relatórios sobre produtos, aplicações e serviços oficialmente lançados e as suas versões mais recentes. O programa só aceita relatórios de vulnerabilidades de segurança nos seguintes domínios: www.myqnapcloud.com (não incluindo subdomínios de registo de utilizadores) organization.qnap.com (incluindo subdomínios) amizcloud.qnap.com (incluindo subdomínios) license.qnap.com (incluindo subdomínios) www.qmiix.com (incluindo subdomínios) account.qnap.com (incluindo subdomínios) quwan.qnap.com (incluindo subdomínios)
Restrições	O programa de recompensas de segurança é estritamente limitado às vulnerabilidades encontradas nos produtos e serviços da QNAP. São proibidas ações que possam danificar ou afetar negativamente os servidores ou dados da QNAP. Os testes de vulnerabilidade não devem violar as leis locais ou de Taiwan. Não são aceites relatórios de vulnerabilidade se descreverem ou envolverem: Ataques DoS (Denial of Service) a servidores da QNAP ou de utilizadores. Testes de vulnerabilidade que possam danificar os servidores da QNAP ou de utilizadores. Ataques físicos ou engenharia social. Divulgação de vulnerabilidades de segurança antes da aprovação pela QNAP. Vulnerabilidades não críticas em serviços ou produtos desatualizados. Vulnerabilidades que afetem apenas browsers web desatualizados. A maioria dos tipos de ataque de força bruta. Vulnerabilidades que envolvam phishing, criação de um website falso ou comportamento fraudulento. Relatórios de análises de vulnerabilidades de segurança que não incluam pormenores sobre o impacto das vulnerabilidades. Relatórios de vulnerabilidade de software de código aberto revelados/não revelados. Vulnerabilidades nos domínios de registo de utilizadores (por exemplo: subdomínios myqnapcloud.com)

Recompensa

Relatórios de vulnerabilidade de segurança confirmados e classificados podem receber recompensas até 5000 USD

Produtos dentro do âmbito

Só são aceites relatórios sobre produtos, aplicações e serviços oficialmente lançados e as suas versões mais recentes.

O programa só aceita relatórios de vulnerabilidades de segurança nos seguintes domínios:

www.myqnapcloud.com (não incluindo subdomínios de registo de utilizadores)
organization.qnap.com (incluindo subdomínios)
amizcloud.qnap.com (incluindo subdomínios)
license.qnap.com (incluindo subdomínios)
www.qmiix.com (incluindo subdomínios)
account.qnap.com (incluindo subdomínios)
quwan.qnap.com (incluindo subdomínios)

Restrições

Não são aceites relatórios de vulnerabilidade se descreverem ou envolverem:

Ataques DoS (Denial of Service) a servidores da QNAP ou de utilizadores.
Testes de vulnerabilidade que possam danificar os servidores da QNAP ou de utilizadores.
Ataques físicos ou engenharia social.
Divulgação de vulnerabilidades de segurança antes da aprovação pela QNAP.
Vulnerabilidades não críticas em serviços ou produtos desatualizados.
Vulnerabilidades que afetem apenas browsers web desatualizados.
A maioria dos tipos de ataque de força bruta.
Vulnerabilidades que envolvam phishing, criação de um website falso ou comportamento fraudulento.
Relatórios de análises de vulnerabilidades de segurança que não incluam pormenores sobre o impacto das vulnerabilidades.
Relatórios de vulnerabilidade de software de código aberto revelados/não revelados.
Vulnerabilidades nos domínios de registo de utilizadores (por exemplo: subdomínios myqnapcloud.com)

Armazenamento

Funcionamento em rede

Acessórios de expansão

Vigilância

NAS

Funcionamento em rede

Vigilância

Âmbito do programa

Sistemas operativos

Aplicações

Serviços em nuvem

Como denunciar a vulnerabilidade e obter recompensas?

Formato sugerido para o relatório de vulnerabilidade

Sistemas operativos

Aplicações

Serviços em nuvem

Chave de encriptação PGP

Qualificações para recompensas

A recompensa pode ser aumentada com base na: