QNAP威联通启动漏洞赏金计划，奖励高达20,000美元

广受欢迎的 NAS 和其他本地存储、智能网络和视频设备的台湾制造商威联通推出了漏洞赏金计划。

特别是 QNAP 的 NAS 设备，在过去几年中一直受到信息窃取恶意软件、比特币挖掘恶意软件和勒索软件的攻击，这些恶意软件通常是通过利用漏洞来传播的。

关于 QNAP 漏洞赏金计划

“我们的安全赏金计划只接受 QNAP 产品和服务中的安全漏洞。超出范围的漏洞将没有资格获得奖励，但根据情况对超出范围的严重漏洞报告例外，”该公司指出。

BUG猎手应该探索：

• QNAP 的操作系统（QTS、QuTS hero、QuTScloud）
• QNAP 开发的应用程序（Helpdesk、License Center、Malware Remover、myQNAPcloud Link、Network & Virtual Switch、Notification Center、QTS SSL Certificate、QuLog Center、Resource Monitor、Qsync Central、HBS 3 Hybrid Backup Sync、Qboost、多媒体控制台、媒体串流插件、QVPN 服务、Virtualization Station、Container Station、QuFirewall、Download Station、Video Station、Photo Station、QuMagie）
• QNAP 云服务(www.myqnapcloud.com,organization.qnap.com,amizcloud.qnap.com,license.qnap.com,www.qmiix.com,account.qnap.com,quwan.qnap.com)–奖励高达5,000 美元

与这些类型的程序一样，如果报告清晰且写得很好，如果包含测试代码、脚本和详细说明，并且如果报告者还包含建议的修复，则赏金会更高。

在 QNAP 发布有关报告的安全公告和/或以其他方式授予发布许可之前，该计划的参与者不得披露或发布其报告的内容。（如果一家公司两者都不做，并且无限期的拖延不修复漏洞，众所周知，安全研究人员会放弃赏金并发布有关已发现漏洞的信息。）

该公司表示“将PGP加密的电子邮件发送到security@qnap.com 后，您将收到一封自动回复电子邮件，其中包含一个票号，可用于检查我们的审核进度。QNAP的PSIRT团队将与您联系以确认所提交信息的完整性。”

“在我们确认完整性后，您将收到来自PSIRT团队的漏洞确认。这将包括漏洞的CVE ID和CVSSv3分数。奖励金额提案将在漏洞确认后 4 周发送。如果您同意该提案，奖励将在收到回复后的 12 周内发送。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4482.html