QNAP威联通启动漏洞赏金计划,奖励高达20,000美元

广受欢迎的 NAS 和其他本地存储、智能网络和视频设备的台湾制造商威联通推出了漏洞赏金计划。

QNAP 漏洞赏金计划

特别是 QNAP 的 NAS 设备,在过去几年中一直受到信息窃取恶意软件、比特币挖掘恶意软件和勒索软件的攻击,这些恶意软件通常是通过利用漏洞来传播的。

关于 QNAP 漏洞赏金计划

“我们的安全赏金计划只接受 QNAP 产品和服务中的安全漏洞。超出范围的漏洞将没有资格获得奖励,但根据情况对超出范围的严重漏洞报告例外,”该公司指出。

BUG猎手应该探索:

  • QNAP 的操作系统(QTS、QuTS hero、QuTScloud)
  • QNAP 开发的应用程序(Helpdesk、License Center、Malware Remover、myQNAPcloud Link、Network & Virtual Switch、Notification Center、QTS SSL Certificate、QuLog Center、Resource Monitor、Qsync Central、HBS 3 Hybrid Backup Sync、Qboost、多媒体控制台、媒体串流插件、QVPN 服务、Virtualization Station、Container Station、QuFirewall、Download Station、Video Station、Photo Station、QuMagie)
  • QNAP 云服务(www.myqnapcloud.com,organization.qnap.com,amizcloud.qnap.com,license.qnap.com,www.qmiix.com,account.qnap.com,quwan.qnap.com)–奖励高达5,000 美元

与这些类型的程序一样,如果报告清晰且写得很好,如果包含测试代码、脚本和详细说明,并且如果报告者还包含建议的修复,则赏金会更高。

在 QNAP 发布有关报告的安全公告和/或以其他方式授予发布许可之前,该计划的参与者不得披露或发布其报告的内容。(如果一家公司两者都不做,并且无限期的拖延不修复漏洞,众所周知,安全研究人员会放弃赏金并发布有关已发现漏洞的信息。)

该公司表示“将PGP加密的电子邮件发送到security@qnap.com 后,您将收到一封自动回复电子邮件,其中包含一个票号,可用于检查我们的审核进度。QNAP的PSIRT团队将与您联系以确认所提交信息的完整性。”

“在我们确认完整性后,您将收到来自PSIRT团队的漏洞确认。这将包括漏洞的CVE ID和CVSSv3分数。奖励金额提案将在漏洞确认后 4 周发送。如果您同意该提案,奖励将在收到回复后的 12 周内发送。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4482.html

标签