Belöningsprogram för säkerhet

QNAP har ett kompromisslöst åtagande inom informationssäkerhet och har partnerskap i säkerhetsforskningssamfundet för att identifiera och korrigera säkerhetsrisker för att skydda våra användare, produkter och internet. QNAP tackar dem som bidrar genom vårt belöningsprogram för säkerhet.

Bekräftelse

Programmets omfattning

Bounty-programmet accepterar endast Säkerhet-sårbarhetsrapporter som rör QNAP-produkter och webbtjänster. Alla Säkerhet-rapporter som faller utanför detta programs omfattning är inte berättigade till belöning. Detta program accepterar eller belönar inte Säkerhet-sårbarheter som hittas i tredjepartsprogramvara (t.ex. 3:e parts QPKG). Om du upptäcker Säkerhet-problem i sådan programvara, vänligen kontakta och informera respektive leverantör eller utvecklare direkt.

Operativsystem

Inkluderar QTS, QuTS hero och QuTScloud

Läs mer
Program

Inkluderar program utvecklade av QNAP

Läs mer
Molntjänster

Inkluderar molntjänster tillhandahållna av QNAP

Läs mer

Hur rapporterar jag säkerhetsrisken och får belöningen?

Kryptera e-postmeddelandet med den offentliga PGP-krypteringsnyckeln nedan och skicka det till security@qnap.com. Vi kontaktar dig så snart som möjligt.

Föreslaget format för säkerhetsriskrapporter

Operativsystem

formatexempel
Program

formatexempel
Molntjänster

formatexempel

PGP krypteringsnyckel

Kopiera PGP krypteringsnyckel

Rapportera säkerhetsrisk

Krav för belöning

Du måste vara den första som rapporterar säkerhetsriskerna.
Du får inte ha delat filer och/eller information om säkerhetsrisken offentligt. Det här inkluderar uppladdningar till offentligt tillgängliga webbplatser.
QNAP:s PSIRT-team måste bekräfta att den rapporterade säkerhetsrisken är ett verifierbart replikerbart och giltigt säkerhetsproblem.
Du måste godkänna alla villkor i belöningsprogrammet för säkerhet.

Belöningen kan höjas grundat på:

Formatintegritet: Följ formatexemplen och ge detaljerad information när du anmäler säkerhetsrisker i operativsystem, program eller molntjänster. Formatexempel: Operativsystem, program, molntjänster.
Steg att reproducera: Beskriv stegen för att reproducera säkerhetsriskerna.
Problembeskrivningar: Beskriv din felsökning och tillvägagångssätt tydligt och kortfattat.
Övrig relevant information: Inkludera testkod, skript och annat som behövs till din förklaring.
Angreppens rådata (kryphålets nyttolast): En rapport i textformat krävs för att säkerställa dataintegriteten. Sårbarhetsbedömningen motsvarar inte QNAP PSIRT:s förväntningar när nätverksnyttolaster endast tillhandahålls som bilder.

Bekräftelse

Vi tackar uppriktigt alla forskare för deras expertis och engagemang.

Andr.Ess
Himanshu Sondhi
iothacker_dreamer
pwnr
Mohammad Abdullah - Infosec Researcher & Bugbounty hunter
Nirob Sec
Sajibe Kanti Sarkar
侯留洋
CataLpa of Hatlab, Dbappsecurity Co. Ltd.
coral
huasheng_mangguo
Nanyu Zhong @ VARAS IIE
Searat and izut
Yuze Wu(h1J4cker)
TOUNSI2
Ahmed Y. Elmogy.
Amir Habeeb
Karim Habeeb
Corentin '@OnlyTheDuck' BAYET
Sandro
Tim Coen
scsb2001
Abhinav
Aditya Singh
Aksha Chudasama
Akshay Shelke
Amit Pandey
Ashish Rai (octupus)
Ashish Sharma
BangBang
Durvesh Kolhe
Gaurang
Gaurang maheta
Ginikunta Vishal Goud
Himanshu Sondhi
Jainam Soni
K.Buvaneshvaran
Mangesh Muley
Milan Solanki (LeoSecurity)
PUSHKAR KUMAR
Raj
Rishyendra M
S Rahul
Saurabh Tripathi
Vaibhav
Vaibhav Shinde
YASHU REDDY
Amethama Luturmas
Firdaus
Drak3hft7
Kazuma Matsumoto of GMO Cybersecurity by IERAE, Inc.
JILALI SHADOW
Marouane Mouhtadi (mar0uane)
Hassaan Ahmed
Insbat
Zain Iqbal
Aliz Hammond of watchTowr
ZIEN
Dohwan KIM (neko_hat from Chung-Ang UNIV.)
Kasper Karlsson
Kevin Chen
LJP (DEVCORE Research Team)
Engin Aydoğan
Kutay Ergen
Freddo Espresso (Evangelos Daravigkas)
Michael Cowell
Anonymous
Christopher Anastasio / Fabius Watson
Trend Micro Zero Day Initiative
Víctor A. Morales
Anh Nguyen Le Quoc (h4niz), Tri, Nguyen Huu (trinh), Quy, Cao Ngoc (quycn) of bl4ckh0l3 from Galaxy One
binhnt
hyc
khoadha
Le Mau Anh Phong at Verichains Cyber Force
Long Hà
q5ca, greengrass

Vanliga frågor och svar

Hur bestäms belöningen?

Belöningen bestäms av svårigheten att framgångsrikt utnyttja säkerhetsrisken, den möjliga exponeringen och procentandel påverkade användare och system.

Får jag skicka in en video med koncepttestet?

Om videor gör det lättare för oss att förstå hur säkerhetsrisken utnyttjas kan QNAP:s belöningskommitté på grund av detta öka belöningen. Observera att du fortfarande måste tillhandahålla skriftlig dokumentation (t.ex. produktinformation, sammanfattning av säkerhetsrisken och steg för att återskapa) eftersom det gör det enklare att avslöja säkerhetsrisken.

Vilken information måste finnas i en säkerhetsriskrapport?

En säkerhetsriskrapport måste åtminstone innehålla följande information: Produktnamn, version och versionsnummer där säkerhetsrisken finns eller molntjänsternas webbadress.
Den måste även innehålla en sammanfattning av de potentiella hoten som säkerhetsrisken innebär, tillsammans med tydliga och detaljerade steg för att återskapa den. Rapporten kan även åtföljas av en video som demonstrerar säkerhetsrisken.

Hur vet jag om QNAP har tagit emot mitt bidrag?

Kryptera meddelandet med PGP-nyckeln som QNAP tillhandahåller och skicka det till security@qnap.com. Systemet svarar automatiskt med ett tekniskt supportnummer, som du använder för att fråga om granskningens förlopp. QNAP:s PSIRT-team kontaktar dig för att verifiera att den inskickade informationen är fullständig. Om all nödvändig information har tillhandahållits får du ett brev från QNAP PSIRT inom en vecka som bekräftar säkerhetsrisken. Brevet innehåller det anmälda säkerhetsproblemets tilldelade CVE-ID. Förslag på belöningsbelopp meddelas per e-post fyra veckor efter bekräftelsebrevets datum. Om du samtycker förväntas QNAP utföra betalningen 12 veckor efter mottagande av samtycke.

Prenumerera på QNAP eNews för att få de senaste produktsäkerhetsnyheterna

Prenumerera nu En djupdykning ned i Security Advisory

Operativsystem

Belöningar upp till20 000 USD

Belöning	Bekräftade och klassificerade säkerhetsriskrapporter kan få belöningar på upp till 20 000 USD
Omfattade produkter	Endast rapporter angående officiellt släppta och de senaste versionerna av produkter, program och tjänster godkänns. QTS 5.2.0 (och senare) QuTS hero h5.2.0 (och senare) QuTScloud c5.1.0 (och senare)
Begränsningar	Vårt belöningsprogram för säkerhet är strikt begränsat till säkerhetsrisker som hittas i QNAP:s produkter och tjänster. Åtgärder som eventuellt kan skada eller påverka QNAP:s servrar eller data negativt är förbjudna. Test av säkerhetsrisker får inte bryta mot lokal eller taiwanesisk lag. Rapporter om säkerhetsrisker godkänns inte om de beskriver eller handlar om: DoS-angrepp (Denial of Service) mot QNAP- eller användarservrar. Test av säkerhetsrisker som kan skada QNAP:s servrar eller användarservrar. Fysiska angrepp eller social manipulering. Avslöjande av säkerhetsrisker före QNAP:s godkännande. Mindre säkerhetsrisker i inaktuella produkter eller tjänster. Säkerhetsrisker som endast påverkar inaktuella webbläsare. De flesta typerna av råstyrkeattacker. Säkerhetsrisker såsom nätfiske, skapa en falsk webbplats eller bedrägligt beteende. Genomsökningsrapporter om säkerhetsrisker som inte innehåller information och säkerhetsriskernas påverkan. Rapporter om upptäckta/ej upptäckta säkerhetsrisker i programvara med öppen källkod. Säkerhetsrisker på användarregistreringsdomäner (till exempel: underdomäner till myqnapcloud.com)

Belöning

Bekräftade och klassificerade säkerhetsriskrapporter kan få belöningar på upp till 20 000 USD

Omfattade produkter

Endast rapporter angående officiellt släppta och de senaste versionerna av produkter, program och tjänster godkänns.

QTS 5.2.0 (och senare)
QuTS hero h5.2.0 (och senare)
QuTScloud c5.1.0 (och senare)

Begränsningar

Vårt belöningsprogram för säkerhet är strikt begränsat till säkerhetsrisker som hittas i QNAP:s produkter och tjänster. Åtgärder som eventuellt kan skada eller påverka QNAP:s servrar eller data negativt är förbjudna. Test av säkerhetsrisker får inte bryta mot lokal eller taiwanesisk lag.

Rapporter om säkerhetsrisker godkänns inte om de beskriver eller handlar om:

DoS-angrepp (Denial of Service) mot QNAP- eller användarservrar.
Test av säkerhetsrisker som kan skada QNAP:s servrar eller användarservrar.
Fysiska angrepp eller social manipulering.
Avslöjande av säkerhetsrisker före QNAP:s godkännande.
Mindre säkerhetsrisker i inaktuella produkter eller tjänster.
Säkerhetsrisker som endast påverkar inaktuella webbläsare.
De flesta typerna av råstyrkeattacker.
Säkerhetsrisker såsom nätfiske, skapa en falsk webbplats eller bedrägligt beteende.
Genomsökningsrapporter om säkerhetsrisker som inte innehåller information och säkerhetsriskernas påverkan.
Rapporter om upptäckta/ej upptäckta säkerhetsrisker i programvara med öppen källkod.
Säkerhetsrisker på användarregistreringsdomäner (till exempel: underdomäner till myqnapcloud.com)

Program

Belöningar upp till10 000 USD

Belöning	Bekräftade och klassificerade säkerhetsriskrapporter kan få belöningar på upp till 10 000 USD
Omfattade produkter	Endast rapporter angående officiellt släppta och de senaste versionerna av produkter, program och tjänster godkänns. Programmet godkänner endast rapporter om säkerhetsrisker i följande program: Hjälpcentralen Licenscenter Malware Remover myQNAPcloud Link Nätverk och virtuell växel Aviseringscenter QTS SSL-certifikat QuLog Center Resource Monitor Qsync Central HBS 3 Hybrid Backup Sync Qboost Multimediekonsolen Media Streaming-tillägget QVPN Service Virtualization Station Container Station QuFirewall Download Station Video Station Photo Station QuMagie
Begränsningar	Vårt belöningsprogram för säkerhet är strikt begränsat till säkerhetsrisker som hittas i QNAP:s produkter och tjänster. Åtgärder som eventuellt kan skada eller påverka QNAP:s servrar eller data negativt är förbjudna. Test av säkerhetsrisker får inte bryta mot lokal eller taiwanesisk lag. Rapporter om säkerhetsrisker godkänns inte om de beskriver eller handlar om: DoS-angrepp (Denial of Service) mot QNAP- eller användarservrar. Test av säkerhetsrisker som kan skada QNAP:s servrar eller användarservrar. Fysiska angrepp eller social manipulering. Avslöjande av säkerhetsrisker före QNAP:s godkännande. Mindre säkerhetsrisker i inaktuella produkter eller tjänster. Säkerhetsrisker som endast påverkar inaktuella webbläsare. De flesta typerna av råstyrkeattacker. Säkerhetsrisker såsom nätfiske, skapa en falsk webbplats eller bedrägligt beteende. Genomsökningsrapporter om säkerhetsrisker som inte innehåller information och säkerhetsriskernas påverkan. Rapporter om upptäckta/ej upptäckta säkerhetsrisker i programvara med öppen källkod. Säkerhetsrisker på användarregistreringsdomäner (till exempel: underdomäner till myqnapcloud.com)

Belöning

Bekräftade och klassificerade säkerhetsriskrapporter kan få belöningar på upp till 10 000 USD

Omfattade produkter

Endast rapporter angående officiellt släppta och de senaste versionerna av produkter, program och tjänster godkänns.

Programmet godkänner endast rapporter om säkerhetsrisker i följande program:

Hjälpcentralen
Licenscenter
Malware Remover
myQNAPcloud Link
Nätverk och virtuell växel
Aviseringscenter
QTS SSL-certifikat
QuLog Center
Resource Monitor
Qsync Central
HBS 3 Hybrid Backup Sync
Qboost
Multimediekonsolen
Media Streaming-tillägget
QVPN Service
Virtualization Station
Container Station
QuFirewall
Download Station
Video Station
Photo Station
QuMagie

Begränsningar

Rapporter om säkerhetsrisker godkänns inte om de beskriver eller handlar om:

DoS-angrepp (Denial of Service) mot QNAP- eller användarservrar.
Test av säkerhetsrisker som kan skada QNAP:s servrar eller användarservrar.
Fysiska angrepp eller social manipulering.
Avslöjande av säkerhetsrisker före QNAP:s godkännande.
Mindre säkerhetsrisker i inaktuella produkter eller tjänster.
Säkerhetsrisker som endast påverkar inaktuella webbläsare.
De flesta typerna av råstyrkeattacker.
Säkerhetsrisker såsom nätfiske, skapa en falsk webbplats eller bedrägligt beteende.
Genomsökningsrapporter om säkerhetsrisker som inte innehåller information och säkerhetsriskernas påverkan.
Rapporter om upptäckta/ej upptäckta säkerhetsrisker i programvara med öppen källkod.
Säkerhetsrisker på användarregistreringsdomäner (till exempel: underdomäner till myqnapcloud.com)

Molntjänster

Belöningar upp till5 000 USD

Belöning	Bekräftade och klassificerade säkerhetsriskrapporter kan få belöningar på upp till 5 000 USD
Omfattade produkter	Endast rapporter angående officiellt släppta och de senaste versionerna av produkter, program och tjänster godkänns. Programmet godkänner endast säkerhetsriskrapporter på följande domäner: www.myqnapcloud.com (inkluderar inte underdomäner för användarregistrering) organization.qnap.com (inklusive underdomäner) amizcloud.qnap.com (inklusive underdomäner) license.qnap.com (inklusive underdomäner) www.qmiix.com (inklusive underdomäner) account.qnap.com (inklusive underdomäner) quwan.qnap.com (inklusive underdomäner)
Begränsningar	Vårt belöningsprogram för säkerhet är strikt begränsat till säkerhetsrisker som hittas i QNAP:s produkter och tjänster. Åtgärder som eventuellt kan skada eller påverka QNAP:s servrar eller data negativt är förbjudna. Test av säkerhetsrisker får inte bryta mot lokal eller taiwanesisk lag. Rapporter om säkerhetsrisker godkänns inte om de beskriver eller handlar om: DoS-angrepp (Denial of Service) mot QNAP- eller användarservrar. Test av säkerhetsrisker som kan skada QNAP:s servrar eller användarservrar. Fysiska angrepp eller social manipulering. Avslöjande av säkerhetsrisker före QNAP:s godkännande. Mindre säkerhetsrisker i inaktuella produkter eller tjänster. Säkerhetsrisker som endast påverkar inaktuella webbläsare. De flesta typerna av råstyrkeattacker. Säkerhetsrisker såsom nätfiske, skapa en falsk webbplats eller bedrägligt beteende. Genomsökningsrapporter om säkerhetsrisker som inte innehåller information och säkerhetsriskernas påverkan. Rapporter om upptäckta/ej upptäckta säkerhetsrisker i programvara med öppen källkod. Säkerhetsrisker på användarregistreringsdomäner (till exempel: underdomäner till myqnapcloud.com)

Belöning

Bekräftade och klassificerade säkerhetsriskrapporter kan få belöningar på upp till 5 000 USD

Omfattade produkter

Endast rapporter angående officiellt släppta och de senaste versionerna av produkter, program och tjänster godkänns.

Programmet godkänner endast säkerhetsriskrapporter på följande domäner:

www.myqnapcloud.com (inkluderar inte underdomäner för användarregistrering)
organization.qnap.com (inklusive underdomäner)
amizcloud.qnap.com (inklusive underdomäner)
license.qnap.com (inklusive underdomäner)
www.qmiix.com (inklusive underdomäner)
account.qnap.com (inklusive underdomäner)
quwan.qnap.com (inklusive underdomäner)

Begränsningar

Rapporter om säkerhetsrisker godkänns inte om de beskriver eller handlar om:

DoS-angrepp (Denial of Service) mot QNAP- eller användarservrar.
Test av säkerhetsrisker som kan skada QNAP:s servrar eller användarservrar.
Fysiska angrepp eller social manipulering.
Avslöjande av säkerhetsrisker före QNAP:s godkännande.
Mindre säkerhetsrisker i inaktuella produkter eller tjänster.
Säkerhetsrisker som endast påverkar inaktuella webbläsare.
De flesta typerna av råstyrkeattacker.
Säkerhetsrisker såsom nätfiske, skapa en falsk webbplats eller bedrägligt beteende.
Genomsökningsrapporter om säkerhetsrisker som inte innehåller information och säkerhetsriskernas påverkan.
Rapporter om upptäckta/ej upptäckta säkerhetsrisker i programvara med öppen källkod.
Säkerhetsrisker på användarregistreringsdomäner (till exempel: underdomäner till myqnapcloud.com)