Programa de recompensas de segurança
A QNAP tem um compromisso intransigente com a segurança da informação e estabeleceu parcerias com a comunidade de investigação de segurança a fim de identificar e corrigir vulnerabilidades com o intuito de manter os nossos utilizadores, produtos e a internet mais seguros. A QNAP procura agradecer aos que contribuem, através da oferta de recompensas do programa de recompensas de segurança.
Âmbito do programa
O Programa de Recompensas só aceita relatórios de vulnerabilidades de Segurança relacionados com produtos e serviços web da QNAP. Qualquer relatório de Segurança que esteja fora do âmbito deste programa não será elegível para recompensas. Este programa não aceita nem recompensa vulnerabilidades de Segurança encontradas em software de terceiros (por exemplo, QPKG de terceiros). Se descobrir problemas de Segurança nesse tipo de software, por favor contacte e notifique diretamente os respetivos fornecedores ou desenvolvedores.
Como denunciar a vulnerabilidade e obter recompensas?
Utilize a chave pública de encriptação PGP abaixo para encriptar o seu e-mail e enviá-lo para security@qnap.com. Contactá-lo-emos o mais brevemente possível.
Formato sugerido para o relatório de vulnerabilidade
-
Sistemas operativos
-
Aplicações
-
Serviços em nuvem
Chave de encriptação PGP
Qualificações para recompensas
-
Deve ser o primeiro investigador a comunicar as vulnerabilidades.
-
Não deve ter partilhado publicamente quaisquer ficheiros e/ou pormenores relacionados com a vulnerabilidade. Isto inclui carregamentos para quaisquer websites acessíveis ao público.
-
A vulnerabilidade comunicada é confirmada como verificável, replicável e um problema de segurança válido pela equipa PSIRT da QNAP.
-
Concorda com todos os termos e condições do programa de recompensas de segurança.
A recompensa pode ser aumentada com base na:
-
Integridade do formato: Cumpra os exemplos de formato e forneça informações pormenorizadas ao comunicar vulnerabilidades em sistemas operativos, aplicações ou serviços em nuvem. Exemplos de formato: Sistemas operativos, Aplicações, Serviços em nuvem.
-
Passos para a reprodução: Demonstre os seus passos para reproduzir as vulnerabilidades.
-
Descrição do problema: Apresente de forma clara e concisa a forma como resolveria o problema e a sua abordagem.
-
Outras informações de apoio: Inclua código de teste, scripts e tudo o que for necessário para a sua explicação.
-
Dados brutos dos ataques (payload do exploit): É necessário um relatório em forma de texto para garantir a integridade dos dados. As avaliações de vulnerabilidade podem ficar aquém das expectativas da equipa PSIRT da QNAP quando as cargas úteis da rede são fornecidas apenas em imagens.
Reconhecimento
Agradecemos sinceramente a todos os investigadores pela sua experiência e dedicação.
- Andr.Ess
- Himanshu Sondhi
- iothacker_dreamer
- pwnr
- Mohammad Abdullah - Infosec Researcher & Bugbounty hunter
- Nirob Sec
- Sajibe Kanti Sarkar
- 侯留洋
- CataLpa of Hatlab, Dbappsecurity Co. Ltd.
- coral
- huasheng_mangguo
- Nanyu Zhong @ VARAS IIE
- Searat and izut
- Yuze Wu(h1J4cker)
- TOUNSI2
- Ahmed Y. Elmogy.
- Amir Habeeb
- Karim Habeeb
- Corentin '@OnlyTheDuck' BAYET
- Sandro
- Tim Coen
- scsb2001
- Abhinav
- Aditya Singh
- Aksha Chudasama
- Akshay Shelke
- Amit Pandey
- Ashish Rai (octupus)
- Ashish Sharma
- BangBang
- Durvesh Kolhe
- Gaurang
- Gaurang maheta
- Ginikunta Vishal Goud
- Himanshu Sondhi
- Jainam Soni
- K.Buvaneshvaran
- Mangesh Muley
- Milan Solanki (LeoSecurity)
- PUSHKAR KUMAR
- Raj
- Rishyendra M
- S Rahul
- Saurabh Tripathi
- Vaibhav
- Vaibhav Shinde
- YASHU REDDY
- Amethama Luturmas
- Firdaus
- Drak3hft7
- Kazuma Matsumoto of GMO Cybersecurity by IERAE, Inc.
- JILALI SHADOW
- Marouane Mouhtadi (mar0uane)
- Hassaan Ahmed
- Insbat
- Zain Iqbal
- Aliz Hammond of watchTowr
- ZIEN
- Dohwan KIM (neko_hat from Chung-Ang UNIV.)
- Kasper Karlsson
- Kevin Chen
- LJP (DEVCORE Research Team)
- Engin Aydoğan
- Kutay Ergen
- Freddo Espresso (Evangelos Daravigkas)
- Michael Cowell
- Anonymous
- Christopher Anastasio / Fabius Watson
- Trend Micro Zero Day Initiative
- Víctor A. Morales
- Anh Nguyen Le Quoc (h4niz), Tri, Nguyen Huu (trinh), Quy, Cao Ngoc (quycn) of bl4ckh0l3 from Galaxy One
- binhnt
- hyc
- khoadha
- Le Mau Anh Phong at Verichains Cyber Force
- Long Hà
- q5ca, greengrass
Perguntas frequentes
A recompensa é determinada pela complexidade de exploração bem-sucedida da vulnerabilidade, da exposição potencial e da percentagem de utilizadores e sistemas afetados.
Se os vídeos facilitarem a compreensão da forma como as vulnerabilidades são exploradas, o comité de atribuição de prémios da QNAP poderá aumentar a recompensa. Tenha em conta que deve continuar a ser fornecida documentação escrita (por exemplo, informações sobre o produto, resumo da vulnerabilidade e passos para a sua reprodução), uma vez que ajuda a gerir o processo de divulgação da vulnerabilidade.
Um relatório de vulnerabilidade deve incluir, pelo menos, as seguintes informações: o nome do produto, a versão e o número da compilação em que a vulnerabilidade existe, ou a localização do URL para os serviços em nuvem.
Deve também fornecer um resumo das potenciais ameaças colocadas pela vulnerabilidade, juntamente com passos de replicação cuidadosamente detalhados. Além disso, o relatório pode ser acompanhado de um vídeo que demonstre a vulnerabilidade.
Utilize a chave PGP fornecida pela QNAP para encriptar o relatório e envie-o para security@qnap.com. O sistema responderá automaticamente com um número de assistência técnica, que pode utilizar para obter informações sobre o progresso da revisão. A equipa PSIRT da QNAP entrará proativamente em contacto com o investigador para verificar se as informações apresentadas estão completas. Se todas as informações necessárias tiverem sido fornecidas, o investigador receberá uma carta de confirmação de vulnerabilidade da equipa PSIRT da QNAP no prazo de uma semana. A carta incluirá a ID CVE atribuída ao problema de segurança comunicado. A proposta de atribuição de prémio será enviada por e-mail quatro semanas após a data da carta de confirmação da vulnerabilidade. Se o investigador concordar, a QNAP deverá efetuar o pagamento 12 semanas após a receção da resposta de confirmação.
Subscreva a QNAP eNews para receber as notícias mais recentes sobre segurança dos produtos
Sistemas operativos
Recompensas até 20 000 USD
| Recompensa |
Relatórios de vulnerabilidade de segurança confirmados e classificados podem receber recompensas até 20 000 USD |
|---|---|
| Produtos dentro do âmbito |
Só são aceites relatórios sobre produtos, aplicações e serviços oficialmente lançados e as suas versões mais recentes.
|
| Restrições |
O programa de recompensas de segurança é estritamente limitado às vulnerabilidades encontradas nos produtos e serviços da QNAP. São proibidas ações que possam danificar ou afetar negativamente os servidores ou dados da QNAP. Os testes de vulnerabilidade não devem violar as leis locais ou de Taiwan. Não são aceites relatórios de vulnerabilidade se descreverem ou envolverem:
|
Aplicações
Recompensas até 10 000 USD
| Recompensa |
Relatórios de vulnerabilidade de segurança confirmados e classificados podem receber recompensas até 10 000 USD |
|---|---|
| Produtos dentro do âmbito |
Só são aceites relatórios sobre produtos, aplicações e serviços oficialmente lançados e as suas versões mais recentes. O programa só aceita relatórios de vulnerabilidades de segurança nas seguintes aplicações:
|
| Restrições |
O programa de recompensas de segurança é estritamente limitado às vulnerabilidades encontradas nos produtos e serviços da QNAP. São proibidas ações que possam danificar ou afetar negativamente os servidores ou dados da QNAP. Os testes de vulnerabilidade não devem violar as leis locais ou de Taiwan. Não são aceites relatórios de vulnerabilidade se descreverem ou envolverem:
|
Serviços em nuvem
Recompensas até 5000 USD
| Recompensa |
Relatórios de vulnerabilidade de segurança confirmados e classificados podem receber recompensas até 5000 USD |
|---|---|
| Produtos dentro do âmbito |
Só são aceites relatórios sobre produtos, aplicações e serviços oficialmente lançados e as suas versões mais recentes. O programa só aceita relatórios de vulnerabilidades de segurança nos seguintes domínios:
|
| Restrições |
O programa de recompensas de segurança é estritamente limitado às vulnerabilidades encontradas nos produtos e serviços da QNAP. São proibidas ações que possam danificar ou afetar negativamente os servidores ou dados da QNAP. Os testes de vulnerabilidade não devem violar as leis locais ou de Taiwan. Não são aceites relatórios de vulnerabilidade se descreverem ou envolverem:
|
Sistemas operativos
(os campos assinalados com * são obrigatórios)
-
Produto*: O nome do produto, por exemplo, QuTS hero
-
Versão*: A versão e o número de compilação, por exemplo, h5.0.1.2376 compilação 20230421
-
Resumo*: No formato de “Um tipo de vulnerabilidade na localização”, por exemplo, Injeção de comando em abc.cgi
-
Permissões de acesso*: As permissões de acesso quando explorou as vulnerabilidades. Por exemplo: Nenhuma/Utilizador normal/Grupo de administradores/Admin.
-
Motivo: O que o fez começar a investigar vulnerabilidades?
-
Ferramentas: Quais foram as ferramentas que utilizou durante a investigação de vulnerabilidades?
-
Descrição: Informações relacionadas com a vulnerabilidade
-
por exemplo:
-
Uma breve descrição dos possíveis danos
-
Análise da vulnerabilidade
-
Como é que a vulnerabilidade pode ser identificada
-
As ferramentas utilizadas
-
-
ID(s) CWE: CWE-XXX, CWE-YYY e assim por diante
-
ID(s) CAPEC: CAPEC-XXX, CAPEC-YYY e assim por diante
-
Pontuação CVSS: CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), CVSS v3.1. Consulte a Base Score Calculator em https://cvss.js.org/
-
Passos para a reprodução*: Instruções passo a passo para a reprodução
-
Prova de conceito: Quaisquer vídeos, capturas de ecrã ou exploits
Aplicações
(os campos assinalados com * são obrigatórios)
-
Aplicação*: O nome da aplicação, por exemplo, File Station
-
Versão*: A versão e o número de compilação, por exemplo, 2.0.2 (2022/01/26)
-
Resumo*: No formato de “Um tipo de vulnerabilidade na localização”, por exemplo, Memória intermédia excedida na aplicação abc
-
Permissões de acesso*: As permissões de acesso quando explorou as vulnerabilidades. Por exemplo: Nenhuma/Utilizador normal/Grupo de administradores/Admin.
-
Motivo: O que o fez começar a investigar vulnerabilidades?
-
Ferramentas: Quais foram as ferramentas que utilizou durante a investigação de vulnerabilidades?
-
Descrição: Informações relacionadas com a vulnerabilidade
-
por exemplo:
-
Uma breve descrição dos possíveis danos
-
Análise da vulnerabilidade
-
Como é que a vulnerabilidade pode ser identificada
-
As ferramentas utilizadas
-
-
ID(s) CWE: CWE-XXX, CWE-YYY e assim por diante
-
ID(s) CAPEC: CAPEC-XXX, CAPEC-YYY e assim por diante
-
Pontuação CVSS: CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), CVSS v3.1. Consulte a Base Score Calculator em https://cvss.js.org/
-
Passos para a reprodução*: Instruções passo a passo para a reprodução
-
Prova de conceito: Quaisquer vídeos, capturas de ecrã ou exploits
Serviços em nuvem
(os campos assinalados com * são obrigatórios)
-
Domínio*: O nome do domínio (por exemplo, https://account.qnap.com)
-
Resumo*: No formato de “Um tipo de vulnerabilidade na localização”, por exemplo, XSS em https://account.qnap.com
-
Motivo: O que o fez começar a investigar vulnerabilidades?
-
Ferramentas: Quais foram as ferramentas que utilizou durante a investigação de vulnerabilidades?
-
Descrição: Informações relacionadas com a vulnerabilidade
-
por exemplo:
-
Uma breve descrição dos possíveis danos
-
Análise da vulnerabilidade
-
Como é que a vulnerabilidade pode ser identificada
-
As ferramentas utilizadas
-
-
ID(s) CWE: CWE-XXX, CWE-YYY e assim por diante
-
ID(s) CAPEC: CAPEC-XXX, CAPEC-YYY e assim por diante
-
Pontuação CVSS: CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), CVSS v3.1. Consulte a Base Score Calculator em https://cvss.js.org/
-
Passos para a reprodução*: Instruções passo a passo para a reprodução
-
Prova de conceito: Quaisquer vídeos, capturas de ecrã ou exploits
