Security Bug Bounty Program

Chương trình săn tìm lỗi bảo mật

Khi các mối đe dọa biến đổi và gia tăng cả về tần suất và mức độ phức tạp, Synology sẽ hợp tác với các nhà nghiên cứu bảo mật để duy trì và tăng cường hơn nữa các biện pháp bảo vệ của chúng tôi.

Phạm vi sản phẩm

Chương trình này chỉ chấp nhận báo cáo lỗ hổng liên quan đến các sản phẩm và dịch vụ web của Synology. Báo cáo về lỗ hổng bảo mật nằm ngoài phạm vi của chương trình thường không đủ điều kiện nhận phần thưởng; tuy nhiên, báo cáo ngoài phạm vi về các lỗ hổng nghiêm trọng có thể được chấp nhận tùy theo tình huống.

Hệ điều hành

Phần thưởng lên tới

30.000 USD

Bao gồm Synology DiskStation Manager, Synology Router Manager, và Synology BeeStation.

Tìm hiểu thêm

Phần mềm và dịch vụ C2 Cloud

Phần thưởng lên tới

10.000 USD

Bao gồm các gói phần mềm do Synology phát triển, các ứng dụng di động có liên quan và các dịch vụ C2 Cloud.

Tìm hiểu thêm

Dịch vụ web

Phần thưởng lên tới

5.000 USD

Bao gồm tất cả các dịch vụ web chính của Synology.

Tìm hiểu thêm

Chi tiết phần thưởng

Tiêu chí điều kiện nhận phần thưởng

Vui lòng cung cấp tất cả thông tin mà chúng tôi cần để tái hiện sự cố được báo cáo. Quy mô của mỗi phần thưởng tùy thuộc vào mức độ nghiêm trọng của lỗ hổng được báo cáo và danh mục sản phẩm bị ảnh hưởng.

Để đáp ứng điều kiện nhận tiền thưởng, báo cáo phải đáp ứng các tiêu chí sau:

Bạn là nhà nghiên cứu đầu tiên báo cáo lỗ hổng này
Lỗ hổng báo cáo được xác nhận là có thể xác minh, có thể tái hiện và là sự cố bảo mật hợp lệ
Báo cáo của bạn tuân thủ các điều khoản và quy định của Chương trình săn tìm lỗi bảo mật

Báo cáo lỗi bảo mật

Nếu bạn tin rằng mình đã tìm thấy lỗ hổng bảo mật, hãy làm theo các bước sau:

Bước 1

Liên hệ với chúng tôi bằng cách sử dụng biểu mẫu liên hệ của Chương trình săn tìm có thưởng.

Bước 2

Sử dụng khóa PGP này để mã hóa thông tin của bạn khi gửi báo cáo lỗi đến Synology.

Bước 3

Gửi kèm theo bằng chứng về khái niệm (PoC) chi tiết và đảm bảo rằng sự cố được báo cáo có thể tái hiện.

Bước 4

Mô tả ngắn gọn. Ví dụ: liên kết bằng chứng về khái niệm ngắn được đánh giá cao hơn video giải thích hậu quả của sự cố SSRF.

Trách nhiệm của bạn và của chúng tôi

Báo cáo của bạn

Để giảm thời gian xử lý của chúng tôi, báo cáo lỗ hổng bảo mật hiệu quả nên:

Chứa mô tả từng bước rõ ràng bằng tiếng Anh về cách mô phỏng lại lỗ hổng
Trình bày ảnh hưởng của lỗ hổng đến các sản phẩm hoặc dịch vụ web của Synology và mô tả các phiên bản và nền tảng bị ảnh hưởng
Nêu những thiệt hại tiềm ẩn do lỗ hổng được báo cáo gây ra

Phản hồi của chúng tôi

Nhóm bảo mật Synology sẽ phản hồi báo cáo trong vòng 7 ngày và thường xuyên cập nhật trạng thái cũng như khắc phục lỗ hổng càng sớm càng tốt, tùy vào mức độ nghiêm trọng của mối đe dọa.

Nếu báo cáo về lỗ hổng bảo mật đủ điều kiện nhận tiền thưởng, bạn sẽ được vinh danh trên trang Tư vấn Bảo mật Sản phẩm Synology trên trang web chính thức của chúng tôi để tri ân.

Quy trình này sẽ mất ít nhất 90 ngày. Phần thưởng sẽ được chuyển khoản cho bạn khi hoàn thành quy trình.

Lưu ý:Synology có quyền thay đổi hoặc hủy bỏ chương trình này, bao gồm các chính sách của chương trình, bất kỳ lúc nào mà không cần thông báo trước.

Hệ điều hành

Phần thưởng	Các báo cáo đủ điều kiện sẽ nhận được phần thưởng lên tới 30.000 USD.*
Sản phẩm trong phạm vi	Chỉ những báo cáo về phiên bản phát hành chính thức mới được chấp nhận. DiskStation Manager (DSM) DSM 6 (phiên bản mới nhất), DSM 7 (phiên bản mới nhất) Các gói dịch vụ được cài đặt mặc định Synology Router Manager (SRM) SRM 1.3 (phiên bản mới nhất) Các gói dịch vụ được cài đặt mặc định Firmware của Synology Camera Firmware 1.3 (bản mới nhất) Synology BeeStation BeeStation OS 1.0 (phiên bản mới nhất) Các gói dịch vụ được cài đặt mặc định
Quy định và hạn chế	Chương trình này giới hạn trong phạm vi lỗ hổng bảo mật phát hiện trên các sản phẩm và dịch vụ của Synology. Chúng tôi nghiêm cấm các hành động có khả năng gây thiệt hại hoặc ảnh hưởng xấu đến máy chủ hoặc dữ liệu của Synology. Quá trình kiểm tra lỗ hổng bảo mật không được vi phạm pháp luật địa phương hoặc Đài Loan. Chương trình không chấp nhận báo cáo về lỗ hổng bảo mật nếu mô tả hoặc liên quan đến: Các cuộc tấn công DoS (Từ chối dịch vụ) vào máy chủ của Synology hoặc của người dùng Quá trình kiểm tra lỗ hổng bảo mật gây bất lợi cho máy chủ hoặc dữ liệu của Synology hoặc người dùng Tấn công kỹ thuật hoặc phi kỹ thuật Tiết lộ thông tin lỗi trước khi Synology phê duyệt Các lỗ hổng không nghiêm trọng trong các dịch vụ hoặc sản phẩm ngưng hỗ trợ Lỗ hổng chỉ ảnh hưởng đến các trình duyệt web cũ Hầu hết các kiểu tấn công vét cạn Các cuộc tấn công XSS phản ánh hoặc các cuộc tấn công Self XSS Các lỗ hổng liên quan đến lừa đảo, tạo trang web giả mạo hoặc thực hiện hành vi lừa đảo Báo cáo quét lỗ hổng bảo mật không nêu chi tiết ảnh hưởng của lỗ hổng bảo mật Dấu hiệu cho thấy các cổng mặc định dễ bị tấn công nhưng không cung cấp PoC Các lỗ hổng về mặt lý thuyết, thiếu Bằng chứng khái niệm (PoC) cụ thể Chỉ riêng các chuyển hướng mở thường được coi là cung cấp đầy đủ thông tin và không đủ điều kiện nhận phần thưởng trừ khi góp phần gây ra lỗ hổng nghiêm trọng hơn Thiếu tiêu đề bảo mật không trực tiếp dẫn đến hành vi lạm dụng Thiếu cờ bảo mật trong cookie Liệt kê người dùng. Các báo cáo trình bày về việc liệt kê người dùng không nằm trong phạm vi trừ khi bạn có thể chứng minh rằng chúng tôi chưa áp dụng bất kỳ giới hạn tỷ lệ nào để bảo vệ người dùng của mình.

Phần thưởng

Các báo cáo đủ điều kiện sẽ nhận được phần thưởng lên tới 30.000 USD.*

Sản phẩm trong phạm vi

Chỉ những báo cáo về phiên bản phát hành chính thức mới được chấp nhận.

DiskStation Manager (DSM)

DSM 6 (phiên bản mới nhất), DSM 7 (phiên bản mới nhất)
Các gói dịch vụ được cài đặt mặc định

Synology Router Manager (SRM)

SRM 1.3 (phiên bản mới nhất)
Các gói dịch vụ được cài đặt mặc định

Firmware của Synology Camera

Firmware 1.3 (bản mới nhất)

Synology BeeStation

BeeStation OS 1.0 (phiên bản mới nhất)
Các gói dịch vụ được cài đặt mặc định

Quy định và hạn chế

Chương trình này giới hạn trong phạm vi lỗ hổng bảo mật phát hiện trên các sản phẩm và dịch vụ của Synology. Chúng tôi nghiêm cấm các hành động có khả năng gây thiệt hại hoặc ảnh hưởng xấu đến máy chủ hoặc dữ liệu của Synology. Quá trình kiểm tra lỗ hổng bảo mật không được vi phạm pháp luật địa phương hoặc Đài Loan.

Chương trình không chấp nhận báo cáo về lỗ hổng bảo mật nếu mô tả hoặc liên quan đến:

Các cuộc tấn công DoS (Từ chối dịch vụ) vào máy chủ của Synology hoặc của người dùng
Quá trình kiểm tra lỗ hổng bảo mật gây bất lợi cho máy chủ hoặc dữ liệu của Synology hoặc người dùng
Tấn công kỹ thuật hoặc phi kỹ thuật
Tiết lộ thông tin lỗi trước khi Synology phê duyệt
Các lỗ hổng không nghiêm trọng trong các dịch vụ hoặc sản phẩm ngưng hỗ trợ
Lỗ hổng chỉ ảnh hưởng đến các trình duyệt web cũ
Hầu hết các kiểu tấn công vét cạn
Các cuộc tấn công XSS phản ánh hoặc các cuộc tấn công Self XSS
Các lỗ hổng liên quan đến lừa đảo, tạo trang web giả mạo hoặc thực hiện hành vi lừa đảo
Báo cáo quét lỗ hổng bảo mật không nêu chi tiết ảnh hưởng của lỗ hổng bảo mật
Dấu hiệu cho thấy các cổng mặc định dễ bị tấn công nhưng không cung cấp PoC
Các lỗ hổng về mặt lý thuyết, thiếu Bằng chứng khái niệm (PoC) cụ thể
Chỉ riêng các chuyển hướng mở thường được coi là cung cấp đầy đủ thông tin và không đủ điều kiện nhận phần thưởng trừ khi góp phần gây ra lỗ hổng nghiêm trọng hơn
Thiếu tiêu đề bảo mật không trực tiếp dẫn đến hành vi lạm dụng
Thiếu cờ bảo mật trong cookie
Liệt kê người dùng. Các báo cáo trình bày về việc liệt kê người dùng không nằm trong phạm vi trừ khi bạn có thể chứng minh rằng chúng tôi chưa áp dụng bất kỳ giới hạn tỷ lệ nào để bảo vệ người dùng của mình.

*Xem trang Chi tiết phần thưởng trên trang web Chương trình lỗi bảo mật để biết thêm chi tiết.

Phần mềm và dịch vụ C2 Cloud

Phần thưởng	Các bản báo cáo chất lượng đủ điều kiện nhận phần thưởng lên tới 10.000 USD.*
Sản phẩm trong phạm vi	Chỉ những báo cáo về phiên bản phát hành chính thức mới được chấp nhận. Gói dịch vụ Gói phần mềm do Synology phát triển Ứng dụng trên máy tính Các ứng dụng Windows, macOS và Linux do Synology phát triển Ứng dụng di động Ứng dụng di động do Synology phát triển dành cho Android và iOS Synology Account Tên miền .account.synology.com Tên miền .identity.synology.com Các dịch vụ C2 Tên miền *.c2.synology.com
Quy định và hạn chế	Chương trình này giới hạn trong phạm vi lỗ hổng bảo mật phát hiện trên các sản phẩm và dịch vụ của Synology. Chúng tôi nghiêm cấm các hành động có khả năng gây thiệt hại hoặc ảnh hưởng xấu đến máy chủ hoặc dữ liệu của Synology. Quá trình kiểm tra lỗ hổng bảo mật không được vi phạm pháp luật địa phương hoặc Đài Loan. Chương trình không chấp nhận báo cáo về lỗ hổng bảo mật nếu mô tả hoặc liên quan đến: Các cuộc tấn công DoS (Từ chối dịch vụ) vào máy chủ của Synology hoặc của người dùng Quá trình kiểm tra lỗ hổng bảo mật gây bất lợi cho máy chủ hoặc dữ liệu của Synology hoặc người dùng Tấn công kỹ thuật hoặc phi kỹ thuật Tiết lộ thông tin lỗi trước khi Synology phê duyệt Các lỗ hổng không nghiêm trọng trong các dịch vụ hoặc sản phẩm ngưng hỗ trợ Lỗ hổng chỉ ảnh hưởng đến các trình duyệt web cũ Hầu hết các kiểu tấn công vét cạn Các cuộc tấn công XSS phản ánh hoặc các cuộc tấn công Self XSS Các lỗ hổng liên quan đến lừa đảo, tạo trang web giả mạo hoặc thực hiện hành vi lừa đảo Báo cáo quét lỗ hổng bảo mật không nêu chi tiết ảnh hưởng của lỗ hổng bảo mật Dấu hiệu cho thấy các cổng mặc định dễ bị tấn công nhưng không cung cấp PoC Các lỗ hổng về mặt lý thuyết, thiếu Bằng chứng khái niệm (PoC) cụ thể Chỉ riêng các chuyển hướng mở thường được coi là cung cấp đầy đủ thông tin và không đủ điều kiện nhận phần thưởng trừ khi góp phần gây ra lỗ hổng nghiêm trọng hơn Thiếu tiêu đề bảo mật không trực tiếp dẫn đến hành vi lạm dụng Thiếu cờ bảo mật trong cookie Liệt kê người dùng. Các báo cáo trình bày về việc liệt kê người dùng không nằm trong phạm vi trừ khi bạn có thể chứng minh rằng chúng tôi chưa áp dụng bất kỳ giới hạn tỷ lệ nào để bảo vệ người dùng của mình.

Phần thưởng

Các bản báo cáo chất lượng đủ điều kiện nhận phần thưởng lên tới 10.000 USD.*

Sản phẩm trong phạm vi

Chỉ những báo cáo về phiên bản phát hành chính thức mới được chấp nhận.

Gói dịch vụ

Gói phần mềm do Synology phát triển

Ứng dụng trên máy tính

Các ứng dụng Windows, macOS và Linux do Synology phát triển

Ứng dụng di động

Ứng dụng di động do Synology phát triển dành cho Android và iOS

Synology Account

Tên miền *.account.synology.com
Tên miền *.identity.synology.com

Các dịch vụ C2

Tên miền *.c2.synology.com

Quy định và hạn chế

Chương trình không chấp nhận báo cáo về lỗ hổng bảo mật nếu mô tả hoặc liên quan đến:

Các cuộc tấn công DoS (Từ chối dịch vụ) vào máy chủ của Synology hoặc của người dùng
Quá trình kiểm tra lỗ hổng bảo mật gây bất lợi cho máy chủ hoặc dữ liệu của Synology hoặc người dùng
Tấn công kỹ thuật hoặc phi kỹ thuật
Tiết lộ thông tin lỗi trước khi Synology phê duyệt
Các lỗ hổng không nghiêm trọng trong các dịch vụ hoặc sản phẩm ngưng hỗ trợ
Lỗ hổng chỉ ảnh hưởng đến các trình duyệt web cũ
Hầu hết các kiểu tấn công vét cạn
Các cuộc tấn công XSS phản ánh hoặc các cuộc tấn công Self XSS
Các lỗ hổng liên quan đến lừa đảo, tạo trang web giả mạo hoặc thực hiện hành vi lừa đảo
Báo cáo quét lỗ hổng bảo mật không nêu chi tiết ảnh hưởng của lỗ hổng bảo mật
Dấu hiệu cho thấy các cổng mặc định dễ bị tấn công nhưng không cung cấp PoC
Các lỗ hổng về mặt lý thuyết, thiếu Bằng chứng khái niệm (PoC) cụ thể
Chỉ riêng các chuyển hướng mở thường được coi là cung cấp đầy đủ thông tin và không đủ điều kiện nhận phần thưởng trừ khi góp phần gây ra lỗ hổng nghiêm trọng hơn
Thiếu tiêu đề bảo mật không trực tiếp dẫn đến hành vi lạm dụng
Thiếu cờ bảo mật trong cookie
Liệt kê người dùng. Các báo cáo trình bày về việc liệt kê người dùng không nằm trong phạm vi trừ khi bạn có thể chứng minh rằng chúng tôi chưa áp dụng bất kỳ giới hạn tỷ lệ nào để bảo vệ người dùng của mình.

*Xem trang Chi tiết phần thưởng trên trang web Chương trình lỗi bảo mật để biết thêm chi tiết.

Dịch vụ web

Phần thưởng	Các bản báo cáo chất lượng đủ điều kiện nhận phần thưởng lên tới 5.000 USD.*
Sản phẩm trong phạm vi	Các tên miền sau (bao gồm cả tên miền phụ) nằm trong phạm vi: *.synology.com Các tên miền sau (bao gồm cả tên miền phụ) nằm ngoài phạm vi: openstack-ci-logs.synology.com, router.synology.com Synology có quyền sửa đổi danh sách này bất cứ lúc nào mà không cần thông báo trước.
Quy định và hạn chế	Chương trình này giới hạn trong phạm vi lỗ hổng bảo mật phát hiện trên các sản phẩm và dịch vụ của Synology. Chúng tôi nghiêm cấm các hành động có khả năng gây thiệt hại hoặc ảnh hưởng xấu đến máy chủ hoặc dữ liệu của Synology. Quá trình kiểm tra lỗ hổng bảo mật không được vi phạm pháp luật địa phương hoặc Đài Loan. Chương trình không chấp nhận báo cáo về lỗ hổng bảo mật nếu mô tả hoặc liên quan đến: Các cuộc tấn công DoS (Từ chối dịch vụ) vào máy chủ của Synology hoặc của người dùng Quá trình kiểm tra lỗ hổng bảo mật gây bất lợi cho máy chủ hoặc dữ liệu của Synology hoặc người dùng Tấn công kỹ thuật hoặc phi kỹ thuật Tiết lộ thông tin lỗi trước khi Synology phê duyệt Truyền tải thư mục trên https://*archive.synology.com Tải xuống tập tin phản ánh Sự cố trích xuất biểu ngữ hoặc tiết lộ phiên bản phần mềm Lỗ hổng zero-day được tiết lộ trong vòng 90 ngày Các lỗ hổng không nghiêm trọng trong các dịch vụ hoặc sản phẩm ngưng hỗ trợ Lỗ hổng chỉ ảnh hưởng đến các trình duyệt web cũ Hầu hết các kiểu tấn công vét cạn Các cuộc tấn công XSS phản ánh hoặc các cuộc tấn công Self XSS Các lỗ hổng liên quan đến lừa đảo, tạo trang web giả mạo hoặc thực hiện hành vi lừa đảo Báo cáo quét lỗ hổng bảo mật không nêu chi tiết ảnh hưởng của lỗ hổng bảo mật Dấu hiệu cho thấy các cổng mặc định dễ bị tấn công nhưng không cung cấp PoC Các lỗ hổng về mặt lý thuyết, thiếu Bằng chứng khái niệm (PoC) cụ thể Chỉ riêng các chuyển hướng mở thường được coi là cung cấp đầy đủ thông tin và không đủ điều kiện nhận phần thưởng trừ khi góp phần gây ra lỗ hổng nghiêm trọng hơn Thiếu tiêu đề bảo mật không trực tiếp dẫn đến hành vi lạm dụng Thiếu cờ bảo mật trong cookie Liệt kê người dùng. Các báo cáo trình bày về việc liệt kê người dùng không nằm trong phạm vi trừ khi bạn có thể chứng minh rằng chúng tôi chưa áp dụng bất kỳ giới hạn tỷ lệ nào để bảo vệ người dùng của mình.

Phần thưởng

Các bản báo cáo chất lượng đủ điều kiện nhận phần thưởng lên tới 5.000 USD.*

Sản phẩm trong phạm vi

Các tên miền sau (bao gồm cả tên miền phụ) nằm trong phạm vi:

*.synology.com

Các tên miền sau (bao gồm cả tên miền phụ) nằm ngoài phạm vi:

openstack-ci-logs.synology.com, router.synology.com

Synology có quyền sửa đổi danh sách này bất cứ lúc nào mà không cần thông báo trước.

Quy định và hạn chế

Chương trình không chấp nhận báo cáo về lỗ hổng bảo mật nếu mô tả hoặc liên quan đến:

Các cuộc tấn công DoS (Từ chối dịch vụ) vào máy chủ của Synology hoặc của người dùng
Quá trình kiểm tra lỗ hổng bảo mật gây bất lợi cho máy chủ hoặc dữ liệu của Synology hoặc người dùng
Tấn công kỹ thuật hoặc phi kỹ thuật
Tiết lộ thông tin lỗi trước khi Synology phê duyệt
Truyền tải thư mục trên https://*archive.synology.com
Tải xuống tập tin phản ánh
Sự cố trích xuất biểu ngữ hoặc tiết lộ phiên bản phần mềm
Lỗ hổng zero-day được tiết lộ trong vòng 90 ngày
Các lỗ hổng không nghiêm trọng trong các dịch vụ hoặc sản phẩm ngưng hỗ trợ
Lỗ hổng chỉ ảnh hưởng đến các trình duyệt web cũ
Hầu hết các kiểu tấn công vét cạn
Các cuộc tấn công XSS phản ánh hoặc các cuộc tấn công Self XSS
Các lỗ hổng liên quan đến lừa đảo, tạo trang web giả mạo hoặc thực hiện hành vi lừa đảo
Báo cáo quét lỗ hổng bảo mật không nêu chi tiết ảnh hưởng của lỗ hổng bảo mật
Dấu hiệu cho thấy các cổng mặc định dễ bị tấn công nhưng không cung cấp PoC
Các lỗ hổng về mặt lý thuyết, thiếu Bằng chứng khái niệm (PoC) cụ thể
Chỉ riêng các chuyển hướng mở thường được coi là cung cấp đầy đủ thông tin và không đủ điều kiện nhận phần thưởng trừ khi góp phần gây ra lỗ hổng nghiêm trọng hơn
Thiếu tiêu đề bảo mật không trực tiếp dẫn đến hành vi lạm dụng
Thiếu cờ bảo mật trong cookie
Liệt kê người dùng. Các báo cáo trình bày về việc liệt kê người dùng không nằm trong phạm vi trừ khi bạn có thể chứng minh rằng chúng tôi chưa áp dụng bất kỳ giới hạn tỷ lệ nào để bảo vệ người dùng của mình.

*Xem trang Chi tiết phần thưởng trên trang web Chương trình lỗi bảo mật để biết thêm chi tiết.

Chi tiết phần thưởng

Trang này được thiết kế để giúp các nhà nghiên cứu hiểu được phần thưởng tiềm năng tối đa đối với các loại lỗ hổng cụ thể và nhấn mạnh các loại lỗ hổng mà Synology đánh giá cao nhất. Chúng tôi đánh giá cao sự đóng góp và nỗ lực nghiên cứu bảo mật xứng đáng nhận phần thưởng.

Phần thưởng trong bảng thể hiện số tiền tối đa có thể đạt được cho mỗi danh mục, nhưng không phải mọi báo cáo đủ điều kiện đều được đảm bảo nhận được số tiền được liệt kê.*

Rất nghiêm trọng
	Hệ điều hành	Phần mềm và dịch vụ C2 Cloud	Dịch vụ web
Zero-click pre-auth RCE	30.000 USD	10.000 USD	5.000 USD
Zero-click pre-auth arbitrary file r/w	9.000 USD	4.600 USD	2.400 USD

Quan trọng
	Hệ điều hành	Phần mềm và dịch vụ C2 Cloud	Dịch vụ web
1-click pre-auth RCE	8.000 USD	4.000 USD	2.000 USD
Zero-click normal-user-auth RCE	7.500 USD	3.900 USD	1.900 USD
Zero-click normal-user-auth arbitrary file r/w	6.500 USD	3.400 USD	1.700 USD
Zero-click pre-auth RCE (AC:H)	6.500 USD	3.400 USD	1.700 USD
1-click pre-auth RCE (AC:H)	5.000 USD	2.500 USD	1.325 USD
pre-auth SQL injection	3.800 USD	1.950 USD	1.025 USD
1-click normal-user-auth RCE (AC:H)	2.600 USD	1.350 USD	725 USD
pre-auth stored XSS	2.600 USD	1.350 USD	725 USD

Vừa phải
	Hệ điều hành	Phần mềm và dịch vụ C2 Cloud	Dịch vụ web
Zero-click admin-auth RCE	2.000 USD	1.000 USD	500 USD
Zero-click admin-auth arbitrary file r/w	1.500 USD	860 USD	480 USD
normal-user-auth stored XSS	1.350 USD	733 USD	417 USD
normal-user-auth SQL injection	1.200 USD	607 USD	353 USD
admin-auth stored XSS	600 USD	353 USD	227 USD

Các lỗ hổng không xác thực trước cũng được chấp nhận nhưng tiền thưởng thấp hơn đáng kể.

Lưu ý:

Vui lòng lưu ý rằng mặc dù chúng tôi có hướng dẫn về phần thưởng nhưng mỗi báo cáo đều được xử lý riêng và đánh giá kỹ lưỡng. Quá trình chấm điểm xem xét nhiều yếu tố khác nhau, bao gồm nhưng không giới hạn ở phạm vi nêu chi tiết trong phiếu đánh giá phần thưởng. Synology có quyền giải thích cuối cùng về số tiền thưởng.
Đối với các vấn đề được xếp loại mức độ nghiêm trọng thấp hoặc đề xuất, chúng tôi sẽ chỉ xác nhận đã nhận được.

Câu hỏi thường gặp

Tôi nên báo cáo lỗ hổng bảo mật như thế nào?Vui lòng cung cấp PoC (Bằng chứng khái niệm) chi tiết và đảm bảo có thể mô phỏng lại vấn đề được báo cáo. Hãy sử dụng mã hóa khóa PGP này do Synology cung cấp khi gửi báo cáo lỗi cho chúng tôi và không tiết lộ thông tin liên quan cho bất kỳ bên thứ ba nào.Ai chịu trách nhiệm xác định quyết định báo cáo lỗi của tôi có đủ điều kiện nhận thưởng hay không?Tất cả báo cáo lỗi đều được xem xét và đánh giá bởi Nhóm bảo mật Synology, bao gồm các chuyên gia phân tích bảo mật cấp cao của Synology.Nếu lỗi được tiết lộ công khai trước khi sửa thì sẽ có hậu quả gì?Chúng tôi cố gắng phản hồi các báo cáo lỗi kịp thời và sửa lỗi trong khoảng thời gian hợp lý. Vui lòng thông báo trước cho chúng tôi trước khi bạn tiết lộ công khai thông tin về lỗi. Hành vi tiết lộ lỗi mà không tuân theo nguyên tắc này sẽ không đủ điều kiện nhận thưởng.Các lỗ hổng bảo mật được tìm thấy trong phần mềm lỗi thời như Apache hoặc Nginx có đủ tiêu chuẩn để nhận phần thưởng không?Vui lòng xác định các lỗ hổng trong phần mềm và giải thích lý do bạn nghi ngờ lỗ hổng này có hại khi sử dụng phần mềm. Các báo cáo bỏ qua loại thông tin này thường không đủ điều kiện nhận thưởng.Tôi có thể yêu cầu tên không ghi tên của tôi trên trang Tư vấn Bảo mật của Synology không?Có. Bạn có thể yêu cầu không nêu tên trên trang Tư vấn bảo mật của chúng tôi. Tuy nhiên, nếu bạn đủ điều kiện nhận thưởng và muốn nhận phần thưởng đó, chúng tôi vẫn cần thông tin liên hệ của bạn để xử lý thanh toán.Các lỗ hổng bảo mật có còn đủ điều kiện nhận thưởng nếu được báo cáo cho các nhà môi giới lỗ hổng bảo mật không?Tiết lộ riêng lỗ hổng cho bên thứ ba vì các mục đích khác ngoài việc sửa lỗi là trái với tinh thần của chương trình của chúng tôi. Do đó, những báo cáo như vậy sẽ không đủ tiêu chuẩn để nhận thưởng.Ai đủ điều kiện nhận thưởng nếu nhiều người cùng báo cáo một lỗi?Phần thưởng được trao cho người đầu tiên phát hiện ra lỗ hổng mà trước đây chúng tôi chưa biết.

Vinh danh

Chúng tôi muốn gửi lời khen ngợi đến các nhà nghiên cứu và tổ chức bảo mật đã hỗ trợ chúng tôi.

2024
2023
2022
2021
2020
2019
2018
2017

Khoadha from VCSLab of Viettel Cyber Security ( https://viettelcybersecurity.com/)
Tim Coen (https://security-consulting.icu/)
Mykola Grymalyuk from RIPEDA Consulting
Zhao Runzi (赵润梓)
Andrea Maugeri (https://www.linkedin.com/in/andreamaugeri)
Offensive Security Research @ Ronin (https://ronin.ae/)
Nathan (Yama) https://DontClickThis.run

Endure Secure (https://endsec.au)
Stephen Argent (https://www.runby.coffee/)
Qian Chen (@cq674350529) from Codesafe Team of Legendsec at QI-ANXIN Group
Jan Kopřiva of Nettles Consulting (https://www.nettles.cz/security/)
Andrej Zaujec (https://www.linkedin.com/in/andrej-zaujec-24ba07158/)
chumen77 from WeBin Lab of DbappSecurity Co.,Ltd.
Bruce Chen (https://twitter.com/bruce30262)
aoxsin (https://twitter.com/aoxsin)
Armanul Miraz
Jaehoon Jang, STEALIEN (https://stealien.com)
Jangwoo Choi, HYEONJUN LEE, SoYeon Kim, TaeWan Ha, DoHwan Kim (https://zrr.kr/SWND)
Jaehoon Jang, Wonbeen Im, STEALIEN (https://stealien.com)
Tomer Goldschmidt and Sharon Brizinov of Claroty Research - Team82
Vo Van Thong of GE Security (VNG) (https://www.linkedin.com/in/thongvv3/)
Hussain Adnan Hashim (https://www.linkedin.com/in/hussain0x3c)
TEAM.ENVY (https://team-envy.gitbook.io/team.envy/about-us)
Tim Coen (https://security-consulting.icu)
TEAM TGLS (Best of the Best 12th) (https://zrr.kr/SWND)
Zhao Runzi (赵润梓)

Kevin Wang (https://twitter.com/kevingwn_ )
Shubham Kushwaha/ meenakshi Maurya (https://github.com/anabelle666)
Safwat Refaat (@Caesar302)
Jeffrey Baker (www.Biznet.net)
Monisha N (https://www.linkedin.com/in/monisha-nagaraj-321524218/)
Ravi (https://twitter.com/itsrvsinghh)
remonsec (https://twitter.com/remonsec)
TheLabda (https://thelabda.com)
Grant Kellie (https://www.linkedin.com/in/grant-kellie-54a23b238/)
pulla karthik srivastav (https://www.linkedin.com/in/karthik-srivastav-680359192)
Muhammad Tanvir Ahmed https://www.facebook.com/tohidulislam.tanvir.948
Eugene Lim, Government Technology Agency of Singapore (https://spaceraccoon.dev)
Laurent Sibilla (https://www.linkedin.com/in/lsibilla/)
Thomas Werschlein (https://www.linkedin.com/in/thomas-werschlein-2293384b)
Sivanesh kumar (https://twitter.com/sivanesh_hacker)
Davis Chang. (https://www.linkedin.com/in/hong-tsun-davis-chang/)
@aoxsin (https://twitter.com/aoxsin)
Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
Hasibul Hasan Shawon (@Saiyan0x01)
Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
Zain Iqbal (https://www.linkedin.com/in/zain-iqbal-971b76254/)
Lukas Kupczyk, CrowdStrike Intelligence
Tomasz Szczechura (https://www.linkedin.com/in/tomasz-szczechura-5189098b/)
Zhao Runzi (赵润梓)

Qian Chen (@cq674350529) from Codesafe Team of Legendsec at Qi'anxin Group
Patrik Fabian (https://websafe.hu)
Eugene Lim, Government Technology Agency of Singapore (https://spaceraccoon.dev)
Jeenika Anadani (https://twitter.com/j33n1k4)
waterpeitw (https://zeroday.hitcon.org/user/waterpeitw)
Milan katwal (https://www.milankatwal.com.np/)
N S R de Rooy (https://www.linkedin.com/in/norbert-de-rooy-9b24527/)
Christian Tucci (https://www.linkedin.com/in/christian-tucci/)
Ravindra Dagale (https://www.linkedin.com/in/ravindra-dagale-5b0913151/)
Sanket Anil Ambalkar (https://www.linkedin.com/in/sanket-ambalkar-70211518b/)
Chirag Agrawal (https://www.linkedin.com/in/chirag-agrawal-770488144/)
Yimi Hu@baidu.com
Raman R Mohurle (https://twitter.com/Raman_Mohurle)
cmj (http://blog.cmj.tw/)
Parth Manek
Patrick Williams (https://www.linkedin.com/in/patrick-williams-6992b4104/)
Amaranath Moger (https://www.linkedin.com/in/amaranath-moger/)
Dennis Herrmann (Code White GmbH)
Siddharth Parashar (https://www.linkedin.com/in/siddharth-parashar-b2a21b1b5/)
Sahil Soni (https://twitter.com/sahil__soni_18?s=08)
Hasibul Hasan Shawon -[Sec Miner's Bangladesh]
Devender Rao (https://www.linkedin.com/in/devender-rao)
RAJIB BAR (https://www.linkedin.com/in/rajib-bar-rjb-b3683314b)
Atharv Shejwal (https://kongsec.io)
Xavier DANEST (https://sustainability.decathlon.com/)
Aditya Shende (http://kongsec.io)
Andreas Rothenbacher (https://error401.de)
Rachit Verma @b43kd00r (https://www.linkedin.com/in/b43kd00r/)
Suraj SK (https://www.linkedin.com/in/suraj-sk/)
Simon Effenberg (https://www.linkedin.com/in/simon-effenberg)
Niraj Mahajan (https://www.linkedin.com/in/niraj1mahajan)
Ayush Pandey (https://www.linkedin.com/in/ayush-pandey-148797175)
Sivanesh kumar D (https://twitter.com/sivanesh_hacker?s=09)
Touhid Shaikh (https://securityium.com/)
N Krishna Chaitanya (https://www.linkedin.com/in/n-krishna-chaitanya-27926aba/)
Ayush Mangal (https://www.linkedin.com/in/ayush-mangal-48a168110)
Tameem Khalid (https://www.linkedin.com/in/tameem-khalid-641a4b192/)
ddaa of TrapaSecurity (https://twitter.com/0xddaa)
Praveen Kumar
Oscar Spierings (https://polyform.dev)
Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
swings of Chaitin Security Research Lab
Hasibul Hasan Rifat (https://twitter.com/rifatsec)
Lanni
Yeshwanth (https://www.linkedin.com/in/yeshwanth-b-4a560b202)
Darshan Sunil jogi (https://www.linkedin.com/in/darshan-jogi-9450431b6/)

Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
Lanni
Swapnil Patil (https://www.linkedin.com/in/swapnil-patil-874223195)
Vladislav Akimenko (Digital Security) (https://dsec.ru)
Muhammad Junaid Abdullah (https://twitter.com/an0n_j)
Claudio Bozzato of Cisco Talos (https://talosintelligence.com/vulnerability_reports/)
Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
Aditya Soni (https://www.linkedin.com/in/adtyasoni)
Mansoor Amjad (https://twitter.com/TheOutcastCoder)
Thomas Fady (https://www.linkedin.com/in/thomas-fady)
James Smith (Bridewell Consulting) (https://bridewellconsulting.com)
Kinshuk Kumar (https://www.linkedin.com/in/kinshuk-kumar-4833551a1/)
Amit Kumar (https://www.linkedin.com/in/amit-kumar-9853731a4)
Mehedi Hasan Remon (twitter.com/remonsec)
Joshua Olson (www.linkedin.com/in/joshua-olson-cysa)
Vaibhav Rajeshwar Atkale(https://twitter.com/atkale_vaibhav)
Mohammed Eldawody (www.fb.com/eldawody0)
YoKo Kho (https://twitter.com/YoKoAcc)
Satyajit Das (https://www.linkedin.com/in/mrsatyajitdas)
Tinu Tomy (https://twitter.com/tinurock007)
Aniket Bhutani (https://www.linkedin.com/in/aniket-bhutani-6ba979192/)
Anurag Muley (https://www.linkedin.com/in/ianuragmuley/)
Howard Ching (https://www.linkedin.com/in/howard-ching-rhul/)
Janmejaya Swain (https://www.linkedin.com/in/janmejayaswainofficial)
Ahmad Firmansyah (https://twitter.com/AhmdddFsyaaah)
Agrah Jain (www.linkedin.com/in/agrahjain)
Shivam Kamboj Dattana (https://www.linkedin.com/in/sechunt3r/)
Pratik Vinod Yadav (https://twitter.com/PratikY9967)
Akshaykumar Kokitkar (https://mobile.twitter.com/cyber_agent2)
Shesha Sai C (https://www.linkedin.com/in/shesha-sai-c-18585b125)
Yash Agarwal (https://www.linkedin.com/in/yash-agarwal-17464715b)
Jan KOPEC(https://twitter.com/blogresponder)
Denis Burtanović
Hasibul Hasan Shawon -[Sec Miner's Bangladesh]

R Atik Islam (https://www.facebook.com/atik.islam.14661)
Jose Israel Nadal Vidal (https://twitter.com/perito_inf)
Thomas Grünert (https://de.linkedin.com/in/thomas-gr%C3%BCnert-250905168)
Matteo Bussani (https://www.linkedin.com/in/matteo-bussani-77b595198/)
Bing-Jhong Jheng (https://github.com/st424204/ctf_practice)
Swapnil Patil (https://www.linkedin.com/in/swapnil-patil-874223195)
Prakash Kumar Parthasarathy (https://www.linkedin.com/in/prakashofficial)
Kitab Ahmed (www.ahmed.science)
Ahmad Firmansyah (https://twitter.com/AhmdddFsyaaah)
Tiziano Di Vincenzo (https://www.linkedin.com/in/tiziano-d-3324a345/)
Pratik Vinod Yadav (https://www.linkedin.com/in/pratik-yadav-117463149)
Diwakar Kumar (https://www.linkedin.com/in/diwakar-kumar-5b3843114/)
Rushi Gayakwad
Yash Ahmed Quashim (https://www.facebook.com/abir.beingviper)
Swapnil Kothawade (https://twitter.com/Swapnil_Kotha?s=09)
Ankit Kumar (https://www.linkedin.com/in/ankit-kumar-42a644166/)
Aman Rai (https://www.linkedin.com/in/aman-rai-737a19146)
Rushikesh Gaikwad (https://www.linkedin.com/in/rushikesh-gaikwad-407163171)
Rupesh Tanaji Kokare (https://www.linkedin.com/in/rupesh-kokare-b63a78145/)
Sumit Jain (https://twitter.com/sumit_cfe)
Qian Chen of Qihoo 360 Nirvan Team
Vishal Vachheta (https://www.linkedin.com/in/vishal-vachheta-a30863122)
Zhong Zhaochen
Tomasz Grabowski
Nightwatch Cybersecurity Research (https://wwws.nightwatchcybersecurity.com)
Safwat Refaat (https://twitter.com/Caesar302)
Agent22 (https://securelayer7.net/)
Hsiao-Yung Chen
Rich Mirch (https://blog.mirch.io)
Ronak Nahar (https://www.linkedin.com/in/naharronak/)
Noman Shaikh (https://twitter.com/nomanAli181)
David Deller (https://horizon-nigh.org)
Mehedi Hasan (SecMiners BD) (https://www.facebook.com/polapan.1337)
Touhid M Shaikh (https://touhidshaikh.com)
Abhishek Gaikwad
Kitabuddin Ahmed
Noman Shaikh (https://twitter.com/nomanAli181)
Ajit Sharma (https://www.linkedin.com/in/ajit-sharma-90483655)
Agung Saputra Ch Lages (https://twitter.com/lagesgeges)
Dan Thomsen (www.thomsen.fo)
Erik de Jong (https://eriknl.github.io)
Sphinx 1,2 (https://www.facebook.com/Sphinx01.10/)
AHMED ELSADAT (https://www.linkedin.com/in/ahmed-elsadat-138755133/)
Hasibul Hasan (SecMiner)
Mohammed Eldawody (www.fb.com/eldawody0)
Chris Schneider
Abdullah Fares Muhanna (https://www.facebook.com/AbedullahFares)
Nick Blyumberg (https://www.linkedin.com/in/nickblyumberg/)
Axel Peters
Muhammad Junaid Abdullah (https://twitter.com/an0n_j)
Kyle Green
Thomas Fady (https://www.linkedin.com/in/thomas-fady)
Dankel Ahmed (https://hackerone.com/kitab)
ShuangYY
HackTrack Security
Muhammed Ashmil K K (Kavuthukandiyil)

Muhammad Junaid Abdullah (https://twitter.com/snoviboy)
Kishan kumar (https://facebook.com/noobieboy007)
Lays (http://l4ys.tw)
Ashish Kumar (https://www.facebook.com/buggyashish)
Lakshay Gupta (http://linkedin.com/in/lakshay-gupta-44102a143)
Meng-Huan Yu (https://www.linkedin.com/in/cebrusfs/)
Ifrah Iman (http://www.ifrahiman.com)
Mohammed Israil (https://www.facebook.com/VillageLad, https://www.linkedin.com/in/mohammed-israil-221656128)
Taien Wang (https://www.linkedin.com/in/taienwang/)
Emad Shanab (@Alra3ees) (https://twitter.com/Alra3ees?s=09)
குகன் ராஜா (Havoc Guhan) (https://fb.com/havocgwen)
Yasser Gersy (https://twitter.com/yassergersy)
Ismail Tasdelen (https://www.linkedin.com/in/ismailtasdelen)
Thomas Fady (https://www.linkedin.com/in/thomas-fady)
Oliver Kramer (https://www.linkedin.com/in/oliver-kramer-670206b5)
1N3@CrowdShield (https://crowdshield.com)
louys, Xie Wei (解炜), Li Yanlong (李衍龙)
Zuo Chaoshun (https://www.linkedin.com/in/chaoshun-zuo-5b9559111/)
Ali Razzaq (https://twitter.com/AliRazzaq_)
丁諭祺(Yu-Chi Ding) from DEVCORE CHROOT
Alex Weber (www.broot.ca)
Alex Bastrakov (https://twitter.com/kazan71p)
Mehidia Tania (https://www.beetles.io)
freetsubasa (https://twitter.com/freetsubasa)
Łukasz Rutkowski (http://www.forit.pl/)
Maximilian Tews (www.linkedin.com/in/maximilian-tews)
Bryan Galao (https://www.facebook.com/xbryan.galao)
Jim Zhou (vip-cloud.cn)
Chun Han Hsiao
Nightwatch Cybersecurity Research (https://wwws.nightwatchcybersecurity.com)
Olivier Bédard
Mohamed Eldawody (https://www.facebook.com/Eldawody0)
Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
郑吉宏通过 GeekPwn 平台提交
Independent Security Evaluators (ISE) labs
Independent security researcher, MengHuan Yu, has reported this vulnerability to Beyond Security’s SecuriTeam Secure Disclosure program
B.Dhiyaneshwaran (https://www.linkedin.com/in/dhiyaneshwaran-b-27947a131/)
Freiwillige Feuerwehr Rohrbach (www.ff-rohrbach.de)
Uriya Yavnieli from VDOO (https://vdoo.com)
Jung Chan Hyeok
Zhong Zhaochen (http://asnine.com)

Honc 章哲瑜 (https://www.facebook.com/you.toshoot)
Sumit Jain
Ketankumar B. Godhani (https://twitter.com/KBGodhani)
karthickumar (Ramanathapuram)
Alireza Azimzadeh Milani
Taien Wang (https://www.facebook.com/taien.tw)
Frédéric Crozat (http://blog.crozat.net/)
Muhammad Hassaan Khan (https://www.facebook.com/Profile.Hassaan)
SSD/Kacper Szurek
Alexander Drabek (https://www.2-sec.com/)
RAVELA PRAMOD KUMAR (https://mobile.twitter.com/PramodRavela)
Kushal Arvind Shah of Fortinet’s FortiGuard Labs
Alvin Poon (https://alvinpoon.myportfolio.com/)
C.shahidyan, C.Akilan, K.Sai Aswanth
BambooFox (https://bamboofox.github.io/)
Sajibe Kanti (https://twitter.com/sajibekantibd)
Huy Kha (linkedin.com/in/huykha)
Pal Patel (https://www.linkedin.com/in/pal434/)
Pethuraj M (https://www.linkedin.com/in/pethu/)
Ali Ashber (https://www.facebook.com/aliashber7)
Muzammil Abbas Kayani (@muzammilabbas2 )
Tayyab Qadir (facebook.com/tqMr.EditOr)
Babar Khan Akhunzada (www.SecurityWall.co)
Mahad Ahmed (https://octadev.com.pk)
JD Duh (blog.johndoe.tw, www.linkedin.com/in/JD-Duh)
Mubassir Kamdar (http://www.mubassirkamdar.com)
Daniel Díez Tainta (https://twitter.com/danilabs)
Tushar Rawool (twitter.com/tkrawool)
Thrivikram Gujarathi (https://www.linkedin.com/in/thrivikram-gujarathi-certified-ethical-hacker-bug-bounty-hunter-53074796)
Ashish Kunwar (twitter: @D0rkerDevil)
Steven Hampton (Twitter: @Keritzy, https://stevenh.neocities.org/)
Peter Bennink (https://www.linkedin.com/in/peter-bennink/)
Thomas Fady (https://www.linkedin.com/in/thomas-fady/)
Roopak Voleti (https://m.facebook.com/sairoopak.voleti)