Programm für Sicherheitsprämien
QNAP hat sich uneingeschränkt der Informationssicherheit verschrieben und arbeitet mit der Gemeinschaft der Sicherheitsforscher zusammen, um Schwachstellen zu identifizieren und zu beheben, damit unsere Benutzer, Produkte und das Internet sicherer werden. Als Dankeschön für diese Zusammenarbeit bietet QNAP Belohnungen im Rahmen unseres Programms für Sicherheitsprämien.
Umfang des Programms
Das Prämienprogramm akzeptiert ausschließlich Sicherheit-Schwachstellenberichte, die sich auf QNAP Produkte und Webdienste beziehen. Alle Sicherheit-Berichte, die nicht in den Geltungsbereich dieses Programms fallen, sind nicht prämienberechtigt. Dieses Programm akzeptiert oder belohnt keine Sicherheit-Schwachstellen, die in Drittanbieter-Software (z. B. 3rd Party QPKG) gefunden werden. Wenn Sie Sicherheit-Probleme in solcher Software entdecken, wenden Sie sich bitte direkt an die jeweiligen Anbieter oder Entwickler.
Wie melde ich die Schwachstelle und erhalte Prämien?
Verwenden Sie den öffentlichen PGP Verschlüsselungsschlüssel, um Ihre E-Mail Nachricht zu verschlüsseln, und senden Sie sie an security@qnap.com. Wir werden Sie so schnell wie möglich kontaktieren.
Empfohlenes Format für den Schwachstellenbericht
-
Betriebssysteme
-
Anwendungen
-
Cloud-Dienste
PGP Verschlüsselungsschlüssel
Voraussetzungen für die Prämie
-
Sie müssen die Sicherheitslücken als Erste(r) melden.
-
Sie dürfen keine Dateien und/oder Details im Zusammenhang mit der Sicherheitslücke öffentlich zugänglich gemacht haben. Dies schließt Uploads auf öffentlich zugängliche Webseiten ein.
-
Die gemeldete Schwachstelle wird vom QNAP PSIRT Team als überprüfbar, reproduzierbar und als gültiges Sicherheitsproblem bestätigt.
-
Sie stimmen allen Bedingungen und Konditionen des Security Bounty Programms zu.
Die Prämie kann erhöht werden, je nach:
-
Integrität des Formats: Halten Sie sich an die Formatbeispiele und liefern Sie detaillierte Informationen, wenn Sie Schwachstellen in Betriebssystemen, Anwendungen oder Cloud-Diensten melden. Formatbeispiele: Betriebssysteme, Anwendungen, Cloud-Dienste.
-
Schritte zur Reproduktion: Veranschaulichen Sie Ihre Schritte zur Reproduktion der Schwachstellen.
-
Problembeschreibungen: Stellen Sie Ihre Fehlerbehebung und Vorgehensweise klar und prägnant dar.
-
Andere unterstützende Informationen: Fügen Sie Testcode, Skripte und alles andere bei, was Sie für Ihre Erklärung benötigen.
-
Rohdaten der Angriffe (Exploit Payload): Ein Bericht in Textform ist erforderlich, um die Datenintegrität zu gewährleisten. Schwachstellenbewertungen können hinter den Erwartungen von QNAP PSIRT\ zurückbleiben, wenn die Netzwerk Payloads nur in Form von Bildern bereitgestellt wurden.
Bestätigung
Wir danken allen Forschenden herzlich für ihre Expertise und ihr Engagement.
- Andr.Ess
- Himanshu Sondhi
- iothacker_dreamer
- pwnr
- Mohammad Abdullah - Infosec Researcher & Bugbounty hunter
- Nirob Sec
- Sajibe Kanti Sarkar
- 侯留洋
- CataLpa of Hatlab, Dbappsecurity Co. Ltd.
- coral
- huasheng_mangguo
- Nanyu Zhong @ VARAS IIE
- Searat and izut
- Yuze Wu(h1J4cker)
- TOUNSI2
- Ahmed Y. Elmogy.
- Amir Habeeb
- Karim Habeeb
- Corentin '@OnlyTheDuck' BAYET
- Sandro
- Tim Coen
- scsb2001
- Abhinav
- Aditya Singh
- Aksha Chudasama
- Akshay Shelke
- Amit Pandey
- Ashish Rai (octupus)
- Ashish Sharma
- BangBang
- Durvesh Kolhe
- Gaurang
- Gaurang maheta
- Ginikunta Vishal Goud
- Himanshu Sondhi
- Jainam Soni
- K.Buvaneshvaran
- Mangesh Muley
- Milan Solanki (LeoSecurity)
- PUSHKAR KUMAR
- Raj
- Rishyendra M
- S Rahul
- Saurabh Tripathi
- Vaibhav
- Vaibhav Shinde
- YASHU REDDY
- Amethama Luturmas
- Firdaus
- Drak3hft7
- Kazuma Matsumoto of GMO Cybersecurity by IERAE, Inc.
- JILALI SHADOW
- Marouane Mouhtadi (mar0uane)
- Hassaan Ahmed
- Insbat
- Zain Iqbal
- Aliz Hammond of watchTowr
- ZIEN
- Dohwan KIM (neko_hat from Chung-Ang UNIV.)
- Kasper Karlsson
- Kevin Chen
- LJP (DEVCORE Research Team)
- Engin Aydoğan
- Kutay Ergen
- Freddo Espresso (Evangelos Daravigkas)
- Michael Cowell
- Anonymous
- Christopher Anastasio / Fabius Watson
- Trend Micro Zero Day Initiative
- Víctor A. Morales
- Anh Nguyen Le Quoc (h4niz), Tri, Nguyen Huu (trinh), Quy, Cao Ngoc (quycn) of bl4ckh0l3 from Galaxy One
- binhnt
- hyc
- khoadha
- Le Mau Anh Phong at Verichains Cyber Force
- Long Hà
- q5ca, greengrass
FAQ
Die Prämie richtet sich nach der Komplexität der erfolgreichen Ausnutzung der Schwachstelle, der potenziellen Gefährdung und dem Prozentsatz der betroffenen Benutzer und Systeme.
Wenn uns die Videos beim Verständnis der Ausnutzung der Schwachstelle behilflich sind, kann das QNAP Preiskomitee die Belohnung erhöhen. Bitte beachten Sie, dass eine schriftliche Dokumentation (z.B. Produktinformationen, eine Zusammenfassung der Schwachstelle und Schritte zur Reproduktion) nach wie vor erforderlich ist, da sie bei der Verwaltung des Verfahrens zur Offenlegung der Schwachstelle hilfreich ist.
Ein Schwachstellenbericht muss mindestens die folgenden Informationen enthalten: den Produktnamen, die Version und die Build-Nummer, in der die Schwachstelle vorhanden ist, oder die URL-Adresse für Cloud-Dienste.
Er sollte auch eine Zusammenfassung der potenziellen Bedrohungen durch die Schwachstelle sowie klar definierte Reproduktionsschritte enthalten. Zusätzlich kann dem Bericht ein Video beigefügt werden, in dem die Schwachstelle demonstriert wird.
Bitte verwenden Sie den von QNAP bereitgestellten PGP-Schlüssel, um den Bericht zu verschlüsseln, und senden Sie ihn an security@qnap.com. Das System antwortet automatisch mit einer technischen Supportnummer, unter der Sie sich über den Fortschritt der Überprüfung erkundigen können. Das QNAP PSIRT Team wird sich proaktiv mit dem Forscher in Verbindung setzen, um die Vollständigkeit der eingereichten Informationen zu überprüfen. Wenn alle erforderlichen Informationen bereitgestellt wurden, erhält der Forscher innerhalb einer Woche ein Bestätigungsschreiben für die Schwachstelle von QNAP PSIRT. Das Schreiben enthält die zugewiesene CVE-ID für die gemeldete Sicherheitslücke. Der Preisvorschlag wird vier Wochen nach dem Datum des Bestätigungsschreibens für die Schwachstelle per E-Mail bekannt gegeben. Wenn der Forscher zustimmt, wird QNAP die Zahlung voraussichtlich 12 Wochen nach Erhalt der Bestätigungsantwort vornehmen.
Abonnieren Sie die QNAP eNews, um die neuesten Informationen zur Produktsicherheit zu erhalten
Betriebssysteme
Belohnungen bis zu 20.000$
| Prämie |
Bestätigte und bewertete Berichte über Sicherheitslücken können mit bis zu 20.000$ belohnt werden |
|---|---|
| Produkte innerhalb des Geltungsbereichs |
Es werden nur Berichte über offiziell freigegebene und aktuelle Versionen von Produkten, Anwendungen und Diensten akzeptiert.
|
| Einschränkungen |
Das Programm für Sicherheitsprämien ist streng auf Schwachstellen beschränkt, die in QNAP Produkten und Diensten gefunden wurden. Aktionen, die möglicherweise QNAP Server oder Daten beschädigen oder beeinträchtigen können, sind verboten. Sämtliche Prüfungen auf Schwachstellen dürfen nicht gegen lokale oder taiwanesische Gesetze verstoßen. Berichte über Schwachstellen werden nicht akzeptiert, wenn sie beschreiben oder beinhalten:
|
Anwendungen
Belohnungen bis zu 10.000$
| Prämie |
Bestätigte und bewertete Berichte über Sicherheitslücken können mit bis zu 10.000$ belohnt werden |
|---|---|
| Produkte innerhalb des Geltungsbereichs |
Es werden nur Berichte über offiziell freigegebene und aktuelle Versionen von Produkten, Anwendungen und Diensten akzeptiert. Das Programm akzeptiert nur Berichte über Sicherheitslücken in den folgenden Anwendungen:
|
| Einschränkungen |
Das Programm für Sicherheitsprämien ist streng auf Schwachstellen beschränkt, die in QNAP Produkten und Diensten gefunden wurden. Aktionen, die möglicherweise QNAP Server oder Daten beschädigen oder beeinträchtigen können, sind verboten. Sämtliche Prüfungen auf Schwachstellen dürfen nicht gegen lokale oder taiwanesische Gesetze verstoßen. Berichte über Schwachstellen werden nicht akzeptiert, wenn sie beschreiben oder beinhalten:
|
Cloud-Dienste
Belohnungen bis zu 5.000$
| Prämie |
Bestätigte und bewertete Berichte über Sicherheitslücken können mit bis zu 5.000$ belohnt werden |
|---|---|
| Produkte innerhalb des Geltungsbereichs |
Es werden nur Berichte über offiziell freigegebene und aktuelle Versionen von Produkten, Anwendungen und Diensten akzeptiert. Das Programm akzeptiert nur Berichte über Sicherheitslücken in den folgenden Domänen:
|
| Einschränkungen |
Das Programm für Sicherheitsprämien ist streng auf Schwachstellen beschränkt, die in QNAP Produkten und Diensten gefunden wurden. Aktionen, die möglicherweise QNAP Server oder Daten beschädigen oder beeinträchtigen können, sind verboten. Sämtliche Prüfungen auf Schwachstellen dürfen nicht gegen lokale oder taiwanesische Gesetze verstoßen. Berichte über Schwachstellen werden nicht akzeptiert, wenn sie beschreiben oder beinhalten:
|
Betriebssysteme
(mit * gekennzeichnete Felder sind Pflichtfelder)
-
Produkt*: Der Produktname, zum Beispiel QuTS hero
-
Version*: Die Versions- und Build-Nummer, z.B. h5.0.1.2376 Build 20230421
-
Zusammenfassung*: Im Format "Die Art der Sicherheitslücke an einem Ort", z.B. Befehlsinjektion in abc.cgi
-
Zugangsberechtigungen*: Die Zugriffsberechtigungen, als Sie die Schwachstellen ausgenutzt haben. Beispiel: Keine / Regulärer Benutzer / Administratorgruppe / Admin.
-
Motivation: Warum haben Sie mit der Suche nach Schwachstellen begonnen?
-
Werkzeuge: Die Werkzeuge, die Sie bei der Suche nach Schwachstellen verwendet haben.
-
Beschreibung: Informationen über die Sicherheitslücke
-
Beispiel:
-
Eine kurze Beschreibung des möglichen Schadens
-
Analyse der Sicherheitslücke
-
Wie die Schwachstelle identifiziert werden kann
-
Die genutzten Werkzeuge
-
-
CWE ID(s): CWE-XXX, CWE-YYY und so weiter
-
CAPEC ID(s): CAPEC-XXX, CAPEC-YYY und so weiter
-
CVSS Score: CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), CVSS v3.1., Bitte beachten Sie den Base Score Calculator https://cvss.js.org/
-
Schritte zur Reproduktion*: Schritt-für-Schritt-Anleitung zur Reproduktion
-
Nachweis des Konzepts: Alle Videos, Screenshots oder Exploits
Anwendungen
(mit * gekennzeichnete Felder sind Pflichtfelder)
-
Anwendung*: Der Name der Anwendung, z.B. File Station
-
Version*: Die Versions- und Build-Nummer, z.B. 2.0.2 ( 2022/01/26)
-
Zusammenfassung*: Im Format "Die Art der Sicherheitslücke an einem Ort", z.B. Pufferüberlauf in abc.cgi
-
Zugangsberechtigungen*: Die Zugriffsberechtigungen, als Sie die Schwachstellen ausgenutzt haben. Beispiel: Keine / Regulärer Benutzer / Administratorgruppe / Admin.
-
Motivation: Warum haben Sie mit der Suche nach Schwachstellen begonnen?
-
Werkzeuge: Die Werkzeuge, die Sie bei der Suche nach Schwachstellen verwendet haben.
-
Beschreibung: Informationen über die Sicherheitslücke
-
Beispiel:
-
Eine kurze Beschreibung des möglichen Schadens
-
Analyse der Sicherheitslücke
-
Wie die Schwachstelle identifiziert werden kann
-
Die genutzten Werkzeuge
-
-
CWE ID(s): CWE-XXX, CWE-YYY und so weiter
-
CAPEC ID(s): CAPEC-XXX, CAPEC-YYY und so weiter
-
CVSS Score: CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), CVSS v3.1., Bitte beachten Sie den Base Score Calculator https://cvss.js.org/
-
Schritte zur Reproduktion*: Schritt-für-Schritt-Anleitung zur Reproduktion
-
Nachweis des Konzepts: Alle Videos, Screenshots oder Exploits
Cloud-Dienste
(mit * gekennzeichnete Felder sind Pflichtfelder)
-
Domäne*: Der Domänenname (z.B. https://account.qnap.com)
-
Zusammenfassung*: Im Format "Die Art der Sicherheitslücke an einem Ort", z.B. XSS in https://account.qnap.com
-
Motivation: Warum haben Sie mit der Suche nach Schwachstellen begonnen?
-
Werkzeuge: Die Werkzeuge, die Sie bei der Suche nach Schwachstellen verwendet haben.
-
Beschreibung: Informationen über die Sicherheitslücke
-
Beispiel:
-
Eine kurze Beschreibung des möglichen Schadens
-
Analyse der Sicherheitslücke
-
Wie die Schwachstelle identifiziert werden kann
-
Die genutzten Werkzeuge
-
-
CWE ID(s): CWE-XXX, CWE-YYY und so weiter
-
CAPEC ID(s): CAPEC-XXX, CAPEC-YYY und so weiter
-
CVSS Score: CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), CVSS v3.1., Bitte beachten Sie den Base Score Calculator https://cvss.js.org/
-
Schritte zur Reproduktion*: Schritt-für-Schritt-Anleitung zur Reproduktion
-
Nachweis des Konzepts: Alle Videos, Screenshots oder Exploits
