Security Bounty Programı

QNAP, bilgi güvenliğinden asla taviz vermeyeceğini taahhüt eder ve kullanıcılarımızı, ürünlerimizi ve interneti daha güvenli tutmak için güvenlik açıklarını belirlemek ve düzeltmek adına güvenlik araştırma topluluğu ile ortaklık kurmuştur. QNAP, katkıda bulunanlara teşekkür etmek amacıyla güvenlik ödül programımız ile ödül vermektedir.

Teşekkür

Programın Kapsamı

Bounty Programı yalnızca QNAP ürünleri ve web hizmetleriyle ilgili güvenlik açığı raporlarını kabul eder. Bu programın kapsamı dışında kalan herhangi bir güvenlik raporu ödül almaya uygun değildir. Bu program, üçüncü taraf yazılımlarda (ör. 3. Parti QPKG) bulunan güvenlik açıklarını kabul etmez veya ödüllendirmez. Bu tür yazılımlarda güvenlik sorunları keşfederseniz, lütfen ilgili satıcı veya geliştiricilerle doğrudan iletişime geçin ve onları bilgilendirin.

İşletim Sistemleri

QTS, QuTS hero, QuTScloud dahildir

Daha fazla bilgi
Uygulamalar

QNAP tarafından geliştirilen uygulamalar dahildir

Daha fazla bilgi
Bulut Hizmetleri

QNAP tarafından sağlanan bulut hizmetleri dahildir

Daha fazla bilgi

Güvenlik açığı nasıl bildirilir ve nasıl ödül alınır?

E-postanızı şifrelemek ve security@qnap.com adresine göndermek için aşağıdaki PGP genel şifreleme anahtarını kullanın. En kısa sürede sizinle iletişime geçeceğiz.

Güvenlik Açığı Raporunda Önerilen Format

İşletim Sistemleri

format örneği
Uygulamalar

format örneği
Bulut Hizmetleri

format örneği

PGP şifreleme anahtarı

PGP şifreleme anahtarını kopyala

Güvenlik Açığı Bildir

Ödül Şartları

Güvenlik açıklarını bildiren ilk araştırmacı olmalısınız.
Güvenlik açığıyla ilgili herhangi bir dosyayı ve/veya ayrıntıyı herkese açık olarak paylaşmamış olmalısınız. Bu, herkese açık web sitelerine yapılan yüklemeleri içerir.
Bildirilen güvenlik açığının doğrulanabilir, tekrarlanabilir ve geçerli bir güvenlik sorunu olduğu QNAP PSIRT ekibi tarafından onaylanmış olmalıdır.
Güvenlik ödülü programının tüm şartlarını ve koşullarını kabul etmiş olmalısınız

Ödül aşağıdakilere göre artırılabilir:

Format Bütünlüğü: İşletim sistemleri, uygulamalar veya bulut hizmetlerindeki güvenlik açıklarını bildirirken format örneklerine uyun ve ayrıntılı bilgi verin. Format örnekleri: İşletim Sistemleri, Uygulamalar, Bulut Hizmetleri.
Yapılacak Adımlar: Güvenlik açıklarını yeniden oluşturmak için uyguladığınız adımları gösterin.
Sorun Açıklamaları: Sorun giderme ve yaklaşımınızı açık ve kısa bir şekilde sunun.
Diğer Destekleyici Bilgiler: Test kodunu, komut dosyalarını ve açıklamanız için gereken diğer her şeyi ekleyin.
Saldırıların Ham Verileri (faydalanma yükü): Veri bütünlüğünü sağlamak için metin biçiminde bir rapor gerekir. Güvenlik açığı değerlendirmeleri, ağ yükleri yalnızca görüntü olarak sağlandığında QNAP PSIRT'in beklentilerinin altında kalabilir.

Teşekkür

Tüm araştırmacılara uzmanlıkları ve özverileri için içtenlikle teşekkür ederiz.

Andr.Ess
Himanshu Sondhi
iothacker_dreamer
pwnr
Mohammad Abdullah - Infosec Researcher & Bugbounty hunter
Nirob Sec
Sajibe Kanti Sarkar
侯留洋
CataLpa of Hatlab, Dbappsecurity Co. Ltd.
coral
huasheng_mangguo
Nanyu Zhong @ VARAS IIE
Searat and izut
Yuze Wu(h1J4cker)
TOUNSI2
Ahmed Y. Elmogy.
Amir Habeeb
Karim Habeeb
Corentin '@OnlyTheDuck' BAYET
Sandro
Tim Coen
scsb2001
Abhinav
Aditya Singh
Aksha Chudasama
Akshay Shelke
Amit Pandey
Ashish Rai (octupus)
Ashish Sharma
BangBang
Durvesh Kolhe
Gaurang
Gaurang maheta
Ginikunta Vishal Goud
Himanshu Sondhi
Jainam Soni
K.Buvaneshvaran
Mangesh Muley
Milan Solanki (LeoSecurity)
PUSHKAR KUMAR
Raj
Rishyendra M
S Rahul
Saurabh Tripathi
Vaibhav
Vaibhav Shinde
YASHU REDDY
Amethama Luturmas
Firdaus
Drak3hft7
Kazuma Matsumoto of GMO Cybersecurity by IERAE, Inc.
JILALI SHADOW
Marouane Mouhtadi (mar0uane)
Hassaan Ahmed
Insbat
Zain Iqbal
Aliz Hammond of watchTowr
ZIEN
Dohwan KIM (neko_hat from Chung-Ang UNIV.)
Kasper Karlsson
Kevin Chen
LJP (DEVCORE Research Team)
Engin Aydoğan
Kutay Ergen
Freddo Espresso (Evangelos Daravigkas)
Michael Cowell
Anonymous
Christopher Anastasio / Fabius Watson
Trend Micro Zero Day Initiative
Víctor A. Morales
Anh Nguyen Le Quoc (h4niz), Tri, Nguyen Huu (trinh), Quy, Cao Ngoc (quycn) of bl4ckh0l3 from Galaxy One
binhnt
hyc
khoadha
Le Mau Anh Phong at Verichains Cyber Force
Long Hà
q5ca, greengrass

FAQ

Ödül nasıl belirlenir?

Ödül, güvenlik açığından başarıyla yararlanmanın karmaşıklığı, potansiyel maruz kalma ve etkilenen kullanıcı ve sistemlerin yüzdesi ile belirlenir.

Videolu kanıt gönderebilir miyim?

Videolar güvenlik açığından nasıl yararlanıldığını anlamamızı kolaylaştırabilirse QNAP ödül komitesi bunun sonucunda ödülü artırabilir. Güvenlik açığı ifşa sürecinin yönetilmesine yardımcı olduğundan yazılı belgelerin (ör., ürün bilgileri, güvenlik açığı özeti ve uygulanacak adımlar) yine de sağlanması gerektiğini lütfen unutmayın.

Güvenlik açığı raporuna hangi bilgiler dahil edilmelidir?

Güvenlik açığı raporuna en azından şu bilgiler dahil edilmelidir: güvenlik açığının bulunduğu ürünün adı, sürüm ve model numarası veya bulut hizmetleri için URL konumu. Açık bir şekilde ayrıntılarıyla birlikte uygulanacak adımlar ile güvenlik açığının oluşturduğu potansiyel tehditlerin bir özeti de sunulmalıdır. Ek olarak rapora güvenlik açığını gösteren bir video eşlik edebilir.

Gönderdiklerimin QNAP tarafından alındığını nereden bileceğim?

Lütfen raporu şifrelemek için QNAP tarafından sağlanan PGP Anahtarını kullanın ve security@qnap.com adresine gönderin. Sistem, incelemenin ilerleme durumu hakkında bilgi almak için kullanabileceğiniz bir teknik destek numarasıyla otomatik olarak yanıt verecektir. QNAP PSIRT ekibi, gönderilen bilgilerin eksiksiz olduğunu doğrulamak için proaktif olarak araştırmacıyla iletişime geçecektir. Gerekli tüm bilgiler sağlanmışsa bir hafta içinde araştırmacı bir QNAP PSIRT güvenlik açığı onay yazısı alacaktır. Bu yazı, bildirilen güvenlik sorunu için atanan CVE kimliğini içerecektir. Ödül teklifi, güvenlik açığı onay yazısı tarihinden dört hafta sonra e-posta yoluyla bildirilecektir. Araştırmacı kabul ederse onay yazısı alındıktan 12 hafta sonra QNAP’in ödemeyi yapması beklenmektedir.

Ürün güvenliğiyle ilgili en yeni haberleri almak için QNAP eNews’e abone olun

Şimdi abone olun Güvenlik Danışmanlığına Derinlemesine Bir Bakış

İşletim Sistemleri

20.000$’a’a varan ödüller

Ödül	Teyit edilmiş ve değerlendirilmiş güvenlik açığı raporları 20.000$’a varan ödül alabilir
Kapsam dahilindeki ürünler	Ürünlerin, uygulamaların ve hizmetlerin yalnızca resmi olarak yayınlanan ve en son sürümleriyle ilgili raporlar kabul edilir. QTS 5.2.0 (ve daha sonrası) QuTS hero h5.2.0 (ve daha sonrası) QuTScloud c5.1.0 (ve daha sonrası)
Kısıtlamalar	Güvenlik ödül programı, sadece QNAP ürün ve hizmetlerinde bulunan güvenlik açıklarıyla sınırlıdır. QNAP sunucularına veya verilerine potansiyel olarak zarar verebilecek veya bunları zararlı şekilde etkileyebilecek eylemler yasaktır. Herhangi bir güvenlik açığı testi, yerel yasaları veya Tayvan yasalarını ihlal etmemelidir. Güvenlik açığı raporları aşağıdakileri tanımlıyor veya içeriyorsa kabul edilmez: QNAP veya kullanıcı sunucularında DoS (Hizmet Reddi) saldırıları. QNAP sunucularına veya kullanıcı sunucularına zarar verebilecek güvenlik açığı testleri. Fiziksel saldırılar veya sosyal mühendislik. QNAP onayı olmadan güvenlik açıklarının ifşa edilmesi. Eski hizmetler veya ürünlerdeki kritik olmayan güvenlik açıkları. Sadece eski web tarayıcılarını etkileyen güvenlik açıkları. Çoğu deneme yanılma saldırısı türü. Kimlik avı, sahte bir web sitesi oluşturma veya dolandırıcılık içeren güvenlik açıkları. Güvenlik açıklarının etkisine ilişkin ayrıntıları içermeyen güvenlik açığı tarama raporları. Açık kaynaklı yazılımda açığa çıkan/açığa çıkmayan güvenlik açığı raporları. Kullanıcı kaydı alan adlarındaki güvenlik açıkları (örneğin: myqnapcloud.com alt alan adları)

Ödül

Teyit edilmiş ve değerlendirilmiş güvenlik açığı raporları 20.000$’a varan ödül alabilir

Kapsam dahilindeki ürünler

Ürünlerin, uygulamaların ve hizmetlerin yalnızca resmi olarak yayınlanan ve en son sürümleriyle ilgili raporlar kabul edilir.

QTS 5.2.0 (ve daha sonrası)
QuTS hero h5.2.0 (ve daha sonrası)
QuTScloud c5.1.0 (ve daha sonrası)

Kısıtlamalar

Güvenlik ödül programı, sadece QNAP ürün ve hizmetlerinde bulunan güvenlik açıklarıyla sınırlıdır. QNAP sunucularına veya verilerine potansiyel olarak zarar verebilecek veya bunları zararlı şekilde etkileyebilecek eylemler yasaktır. Herhangi bir güvenlik açığı testi, yerel yasaları veya Tayvan yasalarını ihlal etmemelidir.

Güvenlik açığı raporları aşağıdakileri tanımlıyor veya içeriyorsa kabul edilmez:

QNAP veya kullanıcı sunucularında DoS (Hizmet Reddi) saldırıları.
QNAP sunucularına veya kullanıcı sunucularına zarar verebilecek güvenlik açığı testleri.
Fiziksel saldırılar veya sosyal mühendislik.
QNAP onayı olmadan güvenlik açıklarının ifşa edilmesi.
Eski hizmetler veya ürünlerdeki kritik olmayan güvenlik açıkları.
Sadece eski web tarayıcılarını etkileyen güvenlik açıkları.
Çoğu deneme yanılma saldırısı türü.
Kimlik avı, sahte bir web sitesi oluşturma veya dolandırıcılık içeren güvenlik açıkları.
Güvenlik açıklarının etkisine ilişkin ayrıntıları içermeyen güvenlik açığı tarama raporları.
Açık kaynaklı yazılımda açığa çıkan/açığa çıkmayan güvenlik açığı raporları.
Kullanıcı kaydı alan adlarındaki güvenlik açıkları (örneğin: myqnapcloud.com alt alan adları)

Uygulamalar

10.000$’a’a varan ödüller

Ödül	Teyit edilmiş ve değerlendirilmiş güvenlik açığı raporları 10.000$’a varan ödül alabilir
Kapsam dahilindeki ürünler	Ürünlerin, uygulamaların ve hizmetlerin yalnızca resmi olarak yayınlanan ve en son sürümleriyle ilgili raporlar kabul edilir. Program sadece aşağıdaki uygulamalardaki güvenlik açıkları raporlarını kabul eder: Yardım Masası License Center Malware Remover myQNAPcloud Link Ağ ve Sanal Anahtar Bildirim Merkezi QTS SSL Sertifikası QuLog Center Kaynak Monitör Qsync Central HBS 3 Hybrid Backup Sync Qboost Mulitimedia Console Medya Akışı eklentisi QVPN Hizmeti Virtualization Station Container Station QuFirewall Download Station Video Station Photo Station QuMagie
Kısıtlamalar	Güvenlik ödül programı, sadece QNAP ürün ve hizmetlerinde bulunan güvenlik açıklarıyla sınırlıdır. QNAP sunucularına veya verilerine potansiyel olarak zarar verebilecek veya bunları zararlı şekilde etkileyebilecek eylemler yasaktır. Herhangi bir güvenlik açığı testi, yerel yasaları veya Tayvan yasalarını ihlal etmemelidir. Güvenlik açığı raporları aşağıdakileri tanımlıyor veya içeriyorsa kabul edilmez: QNAP veya kullanıcı sunucularında DoS (Hizmet Reddi) saldırıları. QNAP sunucularına veya kullanıcı sunucularına zarar verebilecek güvenlik açığı testleri. Fiziksel saldırılar veya sosyal mühendislik. QNAP onayı olmadan güvenlik açıklarının ifşa edilmesi. Eski hizmetler veya ürünlerdeki kritik olmayan güvenlik açıkları. Sadece eski web tarayıcılarını etkileyen güvenlik açıkları. Çoğu deneme yanılma saldırısı türü. Kimlik avı, sahte bir web sitesi oluşturma veya dolandırıcılık içeren güvenlik açıkları. Güvenlik açıklarının etkisine ilişkin ayrıntıları içermeyen güvenlik açığı tarama raporları. Açık kaynaklı yazılımda açığa çıkan/açığa çıkmayan güvenlik açığı raporları. Kullanıcı kaydı alan adlarındaki güvenlik açıkları (örneğin: myqnapcloud.com alt alan adları)

Ödül

Teyit edilmiş ve değerlendirilmiş güvenlik açığı raporları 10.000$’a varan ödül alabilir

Kapsam dahilindeki ürünler

Ürünlerin, uygulamaların ve hizmetlerin yalnızca resmi olarak yayınlanan ve en son sürümleriyle ilgili raporlar kabul edilir.

Program sadece aşağıdaki uygulamalardaki güvenlik açıkları raporlarını kabul eder:

Yardım Masası
License Center
Malware Remover
myQNAPcloud Link
Ağ ve Sanal Anahtar
Bildirim Merkezi
QTS SSL Sertifikası
QuLog Center
Kaynak Monitör
Qsync Central
HBS 3 Hybrid Backup Sync
Qboost
Mulitimedia Console
Medya Akışı eklentisi
QVPN Hizmeti
Virtualization Station
Container Station
QuFirewall
Download Station
Video Station
Photo Station
QuMagie

Kısıtlamalar

Güvenlik açığı raporları aşağıdakileri tanımlıyor veya içeriyorsa kabul edilmez:

QNAP veya kullanıcı sunucularında DoS (Hizmet Reddi) saldırıları.
QNAP sunucularına veya kullanıcı sunucularına zarar verebilecek güvenlik açığı testleri.
Fiziksel saldırılar veya sosyal mühendislik.
QNAP onayı olmadan güvenlik açıklarının ifşa edilmesi.
Eski hizmetler veya ürünlerdeki kritik olmayan güvenlik açıkları.
Sadece eski web tarayıcılarını etkileyen güvenlik açıkları.
Çoğu deneme yanılma saldırısı türü.
Kimlik avı, sahte bir web sitesi oluşturma veya dolandırıcılık içeren güvenlik açıkları.
Güvenlik açıklarının etkisine ilişkin ayrıntıları içermeyen güvenlik açığı tarama raporları.
Açık kaynaklı yazılımda açığa çıkan/açığa çıkmayan güvenlik açığı raporları.
Kullanıcı kaydı alan adlarındaki güvenlik açıkları (örneğin: myqnapcloud.com alt alan adları)

Bulut Hizmetleri

5.000$’a’a varan ödüller

Ödül	Teyit edilmiş ve değerlendirilmiş güvenlik açığı raporları 5.000$’a varan ödül alabilir
Kapsam dahilindeki ürünler	Ürünlerin, uygulamaların ve hizmetlerin yalnızca resmi olarak yayınlanan ve en son sürümleriyle ilgili raporlar kabul edilir. Program sadece aşağıdaki alan adlarındaki güvenlik açıkları raporlarını kabul eder: www.myqnapcloud.com (kullanıcı kaydı alt alan adları dahil değildir) organization.qnap.com (alt alan adları dahildir) amizcloud.qnap.com (alt alan adları dahildir) license.qnap.com (alt alan adları dahildir) www.qmiix.com (alt alan adları dahildir) account.qnap.com (alt alan adları dahildir) quwan.qnap.com (alt alan adları dahildir)
Kısıtlamalar	Güvenlik ödül programı, sadece QNAP ürün ve hizmetlerinde bulunan güvenlik açıklarıyla sınırlıdır. QNAP sunucularına veya verilerine potansiyel olarak zarar verebilecek veya bunları zararlı şekilde etkileyebilecek eylemler yasaktır. Herhangi bir güvenlik açığı testi, yerel yasaları veya Tayvan yasalarını ihlal etmemelidir. Güvenlik açığı raporları aşağıdakileri tanımlıyor veya içeriyorsa kabul edilmez: QNAP veya kullanıcı sunucularında DoS (Hizmet Reddi) saldırıları. QNAP sunucularına veya kullanıcı sunucularına zarar verebilecek güvenlik açığı testleri. Fiziksel saldırılar veya sosyal mühendislik. QNAP onayı olmadan güvenlik açıklarının ifşa edilmesi. Eski hizmetler veya ürünlerdeki kritik olmayan güvenlik açıkları. Sadece eski web tarayıcılarını etkileyen güvenlik açıkları. Çoğu deneme yanılma saldırısı türü. Kimlik avı, sahte bir web sitesi oluşturma veya dolandırıcılık içeren güvenlik açıkları. Güvenlik açıklarının etkisine ilişkin ayrıntıları içermeyen güvenlik açığı tarama raporları. Açık kaynaklı yazılımda açığa çıkan/açığa çıkmayan güvenlik açığı raporları. Kullanıcı kaydı alan adlarındaki güvenlik açıkları (örneğin: myqnapcloud.com alt alan adları)

Ödül

Teyit edilmiş ve değerlendirilmiş güvenlik açığı raporları 5.000$’a varan ödül alabilir

Kapsam dahilindeki ürünler

Ürünlerin, uygulamaların ve hizmetlerin yalnızca resmi olarak yayınlanan ve en son sürümleriyle ilgili raporlar kabul edilir.

Program sadece aşağıdaki alan adlarındaki güvenlik açıkları raporlarını kabul eder:

www.myqnapcloud.com (kullanıcı kaydı alt alan adları dahil değildir)
organization.qnap.com (alt alan adları dahildir)
amizcloud.qnap.com (alt alan adları dahildir)
license.qnap.com (alt alan adları dahildir)
www.qmiix.com (alt alan adları dahildir)
account.qnap.com (alt alan adları dahildir)
quwan.qnap.com (alt alan adları dahildir)

Kısıtlamalar

Güvenlik açığı raporları aşağıdakileri tanımlıyor veya içeriyorsa kabul edilmez:

QNAP veya kullanıcı sunucularında DoS (Hizmet Reddi) saldırıları.
QNAP sunucularına veya kullanıcı sunucularına zarar verebilecek güvenlik açığı testleri.
Fiziksel saldırılar veya sosyal mühendislik.
QNAP onayı olmadan güvenlik açıklarının ifşa edilmesi.
Eski hizmetler veya ürünlerdeki kritik olmayan güvenlik açıkları.
Sadece eski web tarayıcılarını etkileyen güvenlik açıkları.
Çoğu deneme yanılma saldırısı türü.
Kimlik avı, sahte bir web sitesi oluşturma veya dolandırıcılık içeren güvenlik açıkları.
Güvenlik açıklarının etkisine ilişkin ayrıntıları içermeyen güvenlik açığı tarama raporları.
Açık kaynaklı yazılımda açığa çıkan/açığa çıkmayan güvenlik açığı raporları.
Kullanıcı kaydı alan adlarındaki güvenlik açıkları (örneğin: myqnapcloud.com alt alan adları)