Security Bug Bounty Programm
Bedrohungen entwickeln sich ständig weiter und werden dabei immer raffinierter. In Zusammenarbeit mit Sicherheitsforschern arbeitet Synology daher kontinuierlich an der Weiterentwicklung aller Schutzmaßnahmen.
GeltungsbereichDieses Programm akzeptiert nur Berichte über Sicherheitslücken, die sich auf Produkte und Webdienste von Synology beziehen. Berichte über Sicherheitslücken, die nicht in den Anwendungsbereich des Programms fallen, qualifizieren sich in der Regel nicht für Belohnungen; Berichte über kritische Sicherheitslücken, die nicht in den Anwendungsbereich fallen, können jedoch je nach Situation akzeptiert werden.

Betriebssysteme

Prämien von bis zu

30.000 US-Dollar.

Umfasst Synology DiskStation Manager, Synology Router Manager und Synology BeeStation.

Erfahren Sie mehr

Software und C2-Cloud-Dienste

Prämien von bis zu

10.000 US-Dollar.

Umfasst die von Synology entwickelten Softwarepakete, zugehörige mobile Anwendungen und C2-Cloud-Dienste.

Erfahren Sie mehr

Webdienste

Prämien von bis zu

5.000 US-Dollar.

Umfasst alle wichtigen Synology Webdienste.

Erfahren Sie mehr
Belohnungsdetails
Bedingungen für die Vergabe einer Prämie
Bitte geben Sie alle Informationen an, die wir benötigen, um die gemeldeten Probleme zu reproduzieren. Die Höhe der einzelnen Prämien hängt von der Schwere der gemeldeten Sicherheitslücke und der betroffenen Produktkategorie ab.Um sich für eine Prämie zu qualifizieren, müssen die Berichte die folgenden Kriterien erfüllen:
  1. Sie sind der erste Entwickler, der die jeweilige Sicherheitslücke meldet (Nur Berichte in englischer Sprache haben die Chance sich für eine Prämie zu qualifizieren)
  2. Die gemeldete Sicherheitslücke ist nachweislich verifizierbar, reproduzierbar und ein relevantes Sicherheitsproblem
  3. Ihre Meldung entspricht den Bedingungen und Bestimmungen des Prämienprogramms
Meldung von SicherheitslückenWenn Sie glauben, eine Sicherheitslücke gefunden zu haben, führen Sie bitte die folgenden Schritte aus:
Schritt 1

Kontaktieren Sie uns über das Kontaktformular für das Bounty-Programm.

Schritt 2

Verwenden Sie diesen PGP-Schlüssel, um Ihre Informationen zu verschlüsseln, wenn Sie Fehlerberichte an Synology senden.

Schritt 3

Fügen Sie einen detaillierten PoC (Proof of Concept) bei und stellen Sie sicher, dass die gemeldeten Probleme reproduziert werden können.

Schritt 4

Wir empfehlen Ihnen, die Informationen kurz und bündig zu halten. So wird beispielsweise ein kurzer PoC-Link höher bewertet als ein Video, in dem die Folgen eines SSRF-Problems erklärt werden.

Ihre und unsere VerantwortungIhr BerichtHelfen Sie uns, die Bearbeitungszeit zu verkürzen. Achten Sie darauf, dass Ihr Bericht:
  1. Eine klare Schritt-für-Schritt-Beschreibung zur Reproduktion der Schwachstelle enthält. Der Bericht muss in englischer Sprache verfasst sein.
  2. Aufzeigt, wie die Sicherheitslücke Synology Produkte oder Webdienste beeinträchtigt und beschreibt, welche Versionen und Plattformen betroffen sind.
  3. Den potenziellen Schaden erläutert, der durch die festgestellte Schwachstelle verursacht wird / werden könnte.
Unsere Antwort
Das Synology Security Team wird innerhalb von 7 Tagen auf Ihre Meldung reagieren und die Schwachstelle, je nach Schwere der Bedrohung, so schnell wie möglich beheben.Qualifiziert sich Ihr Schwachstellen-Bericht für eine Prämie, wird Ihr Name als Zeichen unserer Dankbarkeit und Wertschätzung auf der Synology Produkt-Sicherheitsanweisungen Seite aufgeführt.Dieser Vorgang wird voraussichtlich mindestens 90 Tage in Anspruch nehmen. Ihre Prämie wird Ihnen nach Abschluss des Prüfverfahrens überwiesen.
Anmerkungen:Synology behält sich das Recht vor, dieses Programm, einschließlich seiner Richtlinien, jederzeit und ohne vorherige Ankündigung zu ändern oder zu beenden.
Betriebssysteme
Prämie

Qualifizierte Meldungen können mit einer Prämie von bis zu 30.000 US-Dollar honoriert werden.*

Produkte im Geltungsbereich

Es werden nur Beiträge über offiziell freigegebene Versionen akzeptiert.

DiskStation Manager (DSM)

  • DSM 7 (neueste Version)

Synology Router Manager (SRM)

  • Standardmäßig installierte Pakete

Synology Kamera Firmware

  • Firmware 1.1 (aktuellste Version)

Synology BeeStation

  • BeeStation OS 1.0 (neueste Version)
Regelungen und Einschränkungen

Dieses Programm ist auf Sicherheitslücken beschränkt, die in Synology Produkten und Dienstleistungen gefunden wurden. Aktionen, die möglicherweise Synology Server oder Daten beschädigen oder nachteilig beeinflussen könnten, sind strengstens untersagt. Die Schwachstellentests dürfen nicht gegen lokale oder taiwanesische Gesetze verstoßen.

Nicht für das Programm qualifiziert sind Berichte die die folgende Sicherheitslücken beschreiben oder beinhalten:

  1. DoS-Angriffe (Denial of Service) auf die Server von Synology oder die von Anwendern
  2. .
  3. Tests auf Sicherheitslücken, die sich nachteilig auf die Server oder Daten von Synology oder Anwender auswirken
  4. Physikalische Angriffe oder Social Engineering
  5. Weitergabe von Fehlerinformationen vor der Genehmigung durch Synology
  6. Nicht kritische Schwachstellen in veralteten Diensten oder Produkten
  7. Schwachstellen, die nur veraltete Webbrowser betreffen
  8. Die meisten Arten von Brute-Force-Angriffen
  9. Reflektierte XSS-Angriffe oder Self-XSS-Angriffe
  10. Schwachstellen, die Phishing, die Erstellung von gefälschten Websites oder Betrug beinhalten
  11. Berichte über Schwachstellen-Scans, die keine detaillierten Angaben zu den Auswirkungen der Schwachstelle enthalten
  12. Hinweise, dass Standard-Ports verwundbar sind, ohne jedoch einen PoC zu liefern
  13. Theoretische Schwachstellen ohne konkreten Proof of Concept (PoC)
  14. Offene Weiterleitungen allein gelten in der Regel als informativ und qualifizieren sich nicht für Belohnungen, es sei denn, sie tragen zu einer größeren Schwachstelle bei
  15. Fehlende Sicherheitsheader, die nicht direkt zur Ausnutzung führen
  16. Fehlende Sicherheitsflags in Cookies
  17. Benutzeraufzählung. Berichte, die die Benutzeraufzählung beschreiben, fallen nicht in den Geltungsbereich, es sei denn, Sie können nachweisen, dass wir keine Ratenbeschränkungen zum Schutz unserer Benutzer haben.

*Weitere Details finden Sie auf der Webpage zum Security Bug Bounty Programm unter dem Abschnitt „Belohnungsdetails“.
**Die maximale Belohnung für Schwachstellen in SRM_LAN beträgt 5.000 US-Dollar.
***Die maximale Belohnung für Schwachstellen in der Kamera-Firmware beträgt 10.000 US-Dollar

Software und C2 Cloud Dienste
Prämie

Qualifizierte Meldungen können mit einer Prämie von bis zu 10.000 US-Dollar honoriert werden.*

Produkte im Geltungsbereich

Es werden nur Berichte über offiziell herausgegebene Versionen akzeptiert.

Pakete

Von Synology entwickelte Softwarepakete

Desktop-Clients

Von Synology entwickelte Windows-, macOS- und Linux-Anwendungen

Mobile Apps

Von Synology entwickelte mobile Anwendungen für Android und iOS

Synology Konto

  • *.konto.synology.de-Domänen
  • *.identity.synology.com-Domains

C2-Dienste

*.c2.synology.com-Domains

Regelungen und Einschränkungen

Dieses Programm ist auf Sicherheitslücken beschränkt, die in Synology Produkten und Dienstleistungen gefunden wurden. Aktionen, die möglicherweise Synology Server oder Daten beschädigen oder nachteilig beeinflussen könnten, sind strengstens untersagt. Die Schwachstellentests dürfen nicht gegen lokale oder taiwanesische Gesetze verstoßen.

Nicht für das Programm qualifiziert sind Berichte die die folgende Sicherheitslücken beschreiben oder beinhalten:

  1. DoS-Angriffe (Denial of Service) auf die Server von Synology oder die von Benutzern
  2. Schwachstellentests, die schädlich für die Server oder Daten von Synology oder von Benutzern sind
  3. Physische Angriffe oder Social Engineering
  4. Offenlegung von Fehlerinformationen vor der Genehmigung durch Synology
  5. Unkritische Schwachstellen in veralteten Diensten oder Produkten
  6. Sicherheitslücken, die nur veraltete Webbrowser betreffen
  7. Die meisten Arten von Brute-Force-Angriffen
  8. Reflektierte XSS-Angriffe oder Selbst-XSS-Angriffe
  9. Schwachstellen, die Phishing, die Erstellung gefälschter Websites oder die Begehung von Betrug beinhalten
  10. Berichte zum Scannen von Sicherheitslücken, in denen die Auswirkungen der Sicherheitslücke nicht detailliert beschrieben werden
  11. Hinweise darauf, dass Standardports anfällig sind, jedoch ohne Bereitstellung eines PoC
  12. Theoretische Schwachstellen ohne konkreten Proof of Concept (PoC)
  13. Offene Weiterleitungen allein gelten in der Regel als informativ und qualifizieren sich nicht für Belohnungen, es sei denn, sie tragen zu einer größeren Schwachstelle bei
  14. Fehlende Sicherheitsheader, die nicht direkt zu einer Ausnutzung führen
  15. Fehlende Sicherheitsflags in Cookies
  16. Benutzeraufzählung. Berichte, die die Benutzeraufzählung beschreiben, fallen nicht in den Geltungsbereich, es sei denn, Sie können nachweisen, dass wir keine Ratenbeschränkungen zum Schutz unserer Benutzer haben.

*Weitere Informationen finden Sie unter „Prämiendetails“ auf der Webseite des Security Bug Program.

Webdienste
Prämie

Qualifizierte Meldungen können mit einer Prämie von bis zu 5.000 US-Dollar honoriert werden.*

Produkte im Geltungsbereich

Die folgenden Domains (einschließlich Sub-Domains) sind im Geltungsbereich:

*.synology.com

Die folgenden Domains (einschließlich Sub-Domains) sind außerhalb des Geltungsbereichs:

openstack-ci-logs.synology.com, router.synology.com

Synology behält sich das Recht vor, diese Liste jederzeit und ohne Vorankündigung zu ändern.

Regelungen und Einschränkungen

Dieses Programm ist auf Sicherheitsschwachstellen beschränkt, die in Synology Produkten und Diensten gefunden wurden. Aktionen, die möglicherweise Synology Server oder Daten beschädigen oder nachteilig beeinflussen könnten, sind strengstens untersagt. Die Schwachstellentests dürfen nicht gegen lokale oder taiwanesische Gesetze verstoßen.

Nicht für das Programm qualifiziert sind Berichte die die folgende Sicherheitslücken beschreiben oder beinhalten:

  1. DoS-Angriffe (Denial of Service) auf die Server von Synology oder Anwendern
  2. .
  3. Tests auf Sicherheitslücken, die sich nachteilig auf die Server oder Daten von Synology oder den Benutzern auswirken
  4. Physikalische Angriffe oder Social Engineering
  5. Weitergabe von Fehlerinformationen vor der Genehmigung durch Synology
  6. Nicht kritische Schwachstellen in veralteten Diensten oder Produkten
  7. Schwachstellen, die nur veraltete Webbrowser betreffen
  8. Die meisten Arten von Brute-Force-Angriffen
  9. Reflektierte XSS-Angriffe oder Self-XSS-Angriffe
  10. Schwachstellen, die Phishing, die Erstellung von gefälschten Websites oder Betrug beinhalten
  11. Berichte über Schwachstellen-Scans, die keine detaillierten Angaben zu den Auswirkungen der Schwachstelle enthalten
  12. Hinweise, dass Standard-Ports verwundbar sind, ohne jedoch einen PoC zu liefern
  13. Theoretische Schwachstellen ohne konkreten Proof of Concept (PoC)
  14. Offene Weiterleitungen allein gelten in der Regel als informativ und qualifizieren sich nicht für Belohnungen, es sei denn, sie tragen zu einer größeren Schwachstelle bei
  15. Fehlende Sicherheitsheader, die nicht direkt zur Ausnutzung führen
  16. Fehlende Sicherheitsflags in Cookies
  17. Benutzeraufzählung. Berichte, die die Benutzeraufzählung beschreiben, fallen nicht in den Geltungsbereich, es sei denn, Sie können nachweisen, dass wir keine Ratenbeschränkungen zum Schutz unserer Benutzer haben.

*Weitere Informationen finden Sie unter „Prämiendetails“ auf der Webseite des Security Bug Program.

Belohnungsdetails
Diese Seite soll Forschern helfen, das potenzielle Maximum an Belohnungen für spezifische Schwachstellentypen zu verstehen und die Arten von Schwachstellen hervorzuheben, die Synology am meisten schätzt. Wir sind sehr dankbar für Ihre Beiträge und unser Ziel ist es, bedeutende Sicherheitsforschung fair zu belohnen.Die Belohnungen in der Tabelle zeigen das maximal Mögliche für jede Kategorie, aber nicht jeder qualifizierende Bericht ist garantiert, den aufgeführten Betrag zu erhalten.*
Kritisch
BetriebssystemeSoftware und C2 Cloud-DiensteWeb-Dienste
Zero-click pre-auth RCE30.000 $10.000 $5.000 $
Zero-click pre-auth arbitrary file r/w9.000 $4.600 $2.400 $
Wichtig
BetriebssystemeSoftware und C2 Cloud-DiensteWeb-Dienste
1-click pre-auth RCE8.000 $4.000 $2.000 $
Zero-click normal-user-auth RCE7.500 $3.900 $1.900 $
Zero-click normal-user-auth arbitrary file r/w6.500 $3.400 $1.700 $
Zero-click pre-auth RCE (AC:H)6.500 $3.400 $1.700 $
1-click pre-auth RCE (AC:H)5.000 $2.500 $1.325 $
pre-auth SQL injection3.800 $1.950 $1.025 $
1-click normal-user-auth RCE (AC:H)2.600 $1.350 $725 $
pre-auth stored XSS2.600 $1.350 $725 $
Moderat
BetriebssystemeSoftware und C2 Cloud-DiensteWeb-Dienste
normal-user-auth stored XSS1.350 $733 $417 $
normal-user-auth SQL injection1.200 $607 $353 $
admin-auth vulnerabilities100 $100 $100 $

1. Ab dem 1. Oktober 2024 werden die Belohnungen für admin-auth Schwachstellen auf 100 USD festgelegt.

Anmerkungen:

  • Bitte beachten Sie, dass zwar Richtlinien für Belohnungen bereitgestellt werden, jeder Bericht jedoch individuell und gründlich bewertet wird. Die Bewertung berücksichtigt verschiedene Faktoren, einschließlich, aber nicht beschränkt auf den im Belohnungsraster detaillierten Umfang. Synology behält sich das Recht vor, die endgültige Interpretation der Belohnungsbeträge vorzunehmen.
  • Bei Problemen, die als geringfügig eingestuft sind, oder bei Vorschlägen werden ausschließlich Bestätigungen bereitgestellt.
FAQWie sollte ich eine Sicherheitslücke melden?Bitte legen Sie einen detaillierten PoC (Proof of Concept) vor und stellen Sie sicher, dass die gemeldeten Probleme reproduziert werden können. Verwenden Sie diese von Synology angebotene PGP-Schlüsselverschlüsselung, wenn Sie Fehlerberichte an uns senden, und geben Sie die relevanten Informationen nicht an Dritte weiter.Wer entscheidet, ob meine Meldung für eine Belohnung in Frage kommt?Alle Fehlerberichte werden vom Synology Security Team, das sich aus erfahrenen Sicherheitsanalysten von Synology zusammensetzt, überprüft und bewertet.Welche Folgen hat es, wenn der Fehler öffentlich gemacht wird, bevor er behoben ist?Wir bemühen uns auf Fehlerberichte umgehend zu reagieren und sie zeitnah zu beheben. Bitte benachrichtigen Sie uns, bevor Sie Bug-Informationen öffentlich bekannt geben. Fehlermeldungen, die diesen Grundsatz nicht befolgen, qualifizieren sich nicht für eine Prämie.Sind Sicherheitslücken, die in veralteter Software wie Apache oder Nginx gefunden werden, für eine Belohnung qualifiziert?Bitte nennen Sie die Schwachstellen in der Software und erläutern Sie, warum Sie vermuten, dass sie für die Nutzung der Software schädlich sind. Berichte, die diese Art von Informationen nicht enthalten, kommen in der Regel nicht für eine Prämie in Frage.Kann ich angeben, dass mein Name nicht auf der Seite mit den Sicherheitshinweisen von Synology aufgeführt werden soll?Ja. Sie können angeben, nicht auf unserer Website aufgeführt zu werden. Wenn Sie jedoch Anspruch auf eine Prämie haben und diese annehmen möchten, benötigen wir Ihre Kontaktinformationen, um die Zahlung abzuwickeln.Können Schwachstellen weiterhin belohnt werden, wenn sie an Schwachstellen-Broker gemeldet werden?Die private Weitergabe einer Sicherheitslücke an Dritte zu anderen Zwecken als der Fehlerbehebung steht im Widerspruch zum Geist unseres Programms. Aus diesem Grund können sich entsprechende Meldungen nicht für eine Prämie qualifizieren.Wem steht die Prämie zu, wenn derselbe Fehler von mehr als einer Person gemeldet wird?Die Belohnung erhält die erste Person, die eine uns bisher unbekannte Schwachstelle entdeckt.
DanksagungVielen Dank an alle Sicherheitsexperten und Institutionen, die uns in der Vergangenheit geholfen haben.
  • 2024
  • 2023
  • 2022
  • 2021
  • 2020
  • 2019
  • 2018
  • 2017
  • Khoadha from VCSLab of Viettel Cyber Security ( https://viettelcybersecurity.com/)
  • Tim Coen (https://security-consulting.icu/)
  • Mykola Grymalyuk from RIPEDA Consulting
  • Zhao Runzi (赵润梓)
  • Andrea Maugeri (https://www.linkedin.com/in/andreamaugeri)
  • Offensive Security Research @ Ronin (https://ronin.ae/)
  • Nathan (Yama) https://DontClickThis.run
  • M Tayyab Iqbal (www.alphainferno.com)
  • Only Hack in Cave (tr4ce(Jinho Ju), neko_hat(Dohwan Kim), tw0n3(Han Lee), Hc0wl(GangMin Kim)) (https://github.com/Team-OHiC)
  • Wonbeen Im, STEALIEN (https://stealien.com)
  • 赵润梓、李建申(https://lsr00ter.github.io)
  • Cheripally Sathwik (https://www.instagram.com/ethical_hacker_sathwik)
  • Steven Lin (https://x.com/5teven1in)
  • Qian Chen (@cq674350529) from Codesafe Team of Legendsec at QI-ANXIN Group
  • Mohd Ali (revengerali)
  • Orange Tsai (@orange_8361) from DEVCORE Research Team
  • Bocheng Xiang with FDU(@crispr)
  • HANRYEOL PARK, HYOJIN LEE, HYEOKJONG YUN, HYEONJUN LEE, DOWON KWAK, ZIEN (https://zi-en.io/)
  • Hydrobikz (https://www.linkedin.com/in/bikash-)
  • Can Acar (https://imcan.dev)
  • Yves Bieri of Compass Security (https://www.compass-security.com)
  • DEVCORE Research Team (https://devco.re/)
  • aoxsin (https://twitter.com/aoxsin)
  • Endure Secure (https://endsec.au)
  • Stephen Argent (https://www.runby.coffee/)
  • Qian Chen (@cq674350529) from Codesafe Team of Legendsec at QI-ANXIN Group
  • Jan Kopřiva of Nettles Consulting (https://www.nettles.cz/security/)
  • Andrej Zaujec (https://www.linkedin.com/in/andrej-zaujec-24ba07158/)
  • chumen77 from WeBin Lab of DbappSecurity Co.,Ltd.
  • Bruce Chen (https://twitter.com/bruce30262)
  • aoxsin (https://twitter.com/aoxsin)
  • Armanul Miraz
  • Jaehoon Jang, STEALIEN (https://stealien.com)
  • Jangwoo Choi, HYEONJUN LEE, SoYeon Kim, TaeWan Ha, DoHwan Kim (https://zrr.kr/SWND)
  • Jaehoon Jang, Wonbeen Im, STEALIEN (https://stealien.com)
  • Tomer Goldschmidt and Sharon Brizinov of Claroty Research - Team82
  • Vo Van Thong of GE Security (VNG) (https://www.linkedin.com/in/thongvv3/)
  • Hussain Adnan Hashim (https://www.linkedin.com/in/hussain0x3c)
  • TEAM.ENVY (https://team-envy.gitbook.io/team.envy/about-us)
  • Tim Coen (https://security-consulting.icu)
  • TEAM TGLS (Best of the Best 12th) (https://zrr.kr/SWND)
  • Zhao Runzi (赵润梓)
  • Kevin Wang (https://twitter.com/kevingwn_ )
  • Shubham Kushwaha/ meenakshi Maurya (https://github.com/anabelle666)
  • Safwat Refaat (@Caesar302)
  • Jeffrey Baker (www.Biznet.net)
  • Monisha N (https://www.linkedin.com/in/monisha-nagaraj-321524218/)
  • Ravi (https://twitter.com/itsrvsinghh)
  • remonsec (https://twitter.com/remonsec)
  • TheLabda (https://thelabda.com)
  • Grant Kellie (https://www.linkedin.com/in/grant-kellie-54a23b238/)
  • pulla karthik srivastav (https://www.linkedin.com/in/karthik-srivastav-680359192)
  • Muhammad Tanvir Ahmed https://www.facebook.com/tohidulislam.tanvir.948
  • Eugene Lim, Government Technology Agency of Singapore (https://spaceraccoon.dev)
  • Laurent Sibilla (https://www.linkedin.com/in/lsibilla/)
  • Thomas Werschlein (https://www.linkedin.com/in/thomas-werschlein-2293384b)
  • Sivanesh kumar (https://twitter.com/sivanesh_hacker)
  • Davis Chang. (https://www.linkedin.com/in/hong-tsun-davis-chang/)
  • @aoxsin (https://twitter.com/aoxsin)
  • Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
  • Hasibul Hasan Shawon (@Saiyan0x01)
  • Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
  • Zain Iqbal (https://www.linkedin.com/in/zain-iqbal-971b76254/)
  • Lukas Kupczyk, CrowdStrike Intelligence
  • Tomasz Szczechura (https://www.linkedin.com/in/tomasz-szczechura-5189098b/)
  • Zhao Runzi (赵润梓)
  • Qian Chen (@cq674350529) from Codesafe Team of Legendsec at Qi'anxin Group
  • Patrik Fabian (https://websafe.hu)
  • Eugene Lim, Government Technology Agency of Singapore (https://spaceraccoon.dev)
  • Jeenika Anadani (https://twitter.com/j33n1k4)
  • waterpeitw (https://zeroday.hitcon.org/user/waterpeitw)
  • Milan katwal (https://www.milankatwal.com.np/)
  • N S R de Rooy (https://www.linkedin.com/in/norbert-de-rooy-9b24527/)
  • Christian Tucci (https://www.linkedin.com/in/christian-tucci/)
  • Ravindra Dagale (https://www.linkedin.com/in/ravindra-dagale-5b0913151/)
  • Sanket Anil Ambalkar (https://www.linkedin.com/in/sanket-ambalkar-70211518b/)
  • Chirag Agrawal (https://www.linkedin.com/in/chirag-agrawal-770488144/)
  • Yimi Hu@baidu.com
  • Raman R Mohurle (https://twitter.com/Raman_Mohurle)
  • cmj (http://blog.cmj.tw/)
  • Parth Manek
  • Patrick Williams (https://www.linkedin.com/in/patrick-williams-6992b4104/)
  • Amaranath Moger (https://www.linkedin.com/in/amaranath-moger/)
  • Dennis Herrmann (Code White GmbH)
  • Siddharth Parashar (https://www.linkedin.com/in/siddharth-parashar-b2a21b1b5/)
  • Sahil Soni (https://twitter.com/sahil__soni_18?s=08)
  • Hasibul Hasan Shawon -[Sec Miner's Bangladesh]
  • Devender Rao (https://www.linkedin.com/in/devender-rao)
  • RAJIB BAR (https://www.linkedin.com/in/rajib-bar-rjb-b3683314b)
  • Atharv Shejwal (https://kongsec.io)
  • Xavier DANEST (https://sustainability.decathlon.com/)
  • Aditya Shende (http://kongsec.io)
  • Andreas Rothenbacher (https://error401.de)
  • Rachit Verma @b43kd00r (https://www.linkedin.com/in/b43kd00r/)
  • Suraj SK (https://www.linkedin.com/in/suraj-sk/)
  • Simon Effenberg (https://www.linkedin.com/in/simon-effenberg)
  • Niraj Mahajan (https://www.linkedin.com/in/niraj1mahajan)
  • Ayush Pandey (https://www.linkedin.com/in/ayush-pandey-148797175)
  • Sivanesh kumar D (https://twitter.com/sivanesh_hacker?s=09)
  • Touhid Shaikh (https://securityium.com/)
  • N Krishna Chaitanya (https://www.linkedin.com/in/n-krishna-chaitanya-27926aba/)
  • Ayush Mangal (https://www.linkedin.com/in/ayush-mangal-48a168110)
  • Tameem Khalid (https://www.linkedin.com/in/tameem-khalid-641a4b192/)
  • ddaa of TrapaSecurity (https://twitter.com/0xddaa)
  • Praveen Kumar
  • Oscar Spierings (https://polyform.dev)
  • Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
  • swings of Chaitin Security Research Lab
  • Hasibul Hasan Rifat (https://twitter.com/rifatsec)
  • Lanni
  • Yeshwanth (https://www.linkedin.com/in/yeshwanth-b-4a560b202)
  • Darshan Sunil jogi (https://www.linkedin.com/in/darshan-jogi-9450431b6/)
  • Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
  • Lanni
  • Swapnil Patil (https://www.linkedin.com/in/swapnil-patil-874223195)
  • Vladislav Akimenko (Digital Security) (https://dsec.ru)
  • Muhammad Junaid Abdullah (https://twitter.com/an0n_j)
  • Claudio Bozzato of Cisco Talos (https://talosintelligence.com/vulnerability_reports/)
  • Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
  • Aditya Soni (https://www.linkedin.com/in/adtyasoni)
  • Mansoor Amjad (https://twitter.com/TheOutcastCoder)
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady)
  • James Smith (Bridewell Consulting) (https://bridewellconsulting.com)
  • Kinshuk Kumar (https://www.linkedin.com/in/kinshuk-kumar-4833551a1/)
  • Amit Kumar (https://www.linkedin.com/in/amit-kumar-9853731a4)
  • Mehedi Hasan Remon (twitter.com/remonsec)
  • Joshua Olson (www.linkedin.com/in/joshua-olson-cysa)
  • Vaibhav Rajeshwar Atkale(https://twitter.com/atkale_vaibhav)
  • Mohammed Eldawody (www.fb.com/eldawody0)
  • YoKo Kho (https://twitter.com/YoKoAcc)
  • Satyajit Das (https://www.linkedin.com/in/mrsatyajitdas)
  • Tinu Tomy (https://twitter.com/tinurock007)
  • Aniket Bhutani (https://www.linkedin.com/in/aniket-bhutani-6ba979192/)
  • Anurag Muley (https://www.linkedin.com/in/ianuragmuley/)
  • Howard Ching (https://www.linkedin.com/in/howard-ching-rhul/)
  • Janmejaya Swain (https://www.linkedin.com/in/janmejayaswainofficial)
  • Ahmad Firmansyah (https://twitter.com/AhmdddFsyaaah)
  • Agrah Jain (www.linkedin.com/in/agrahjain)
  • Shivam Kamboj Dattana (https://www.linkedin.com/in/sechunt3r/)
  • Pratik Vinod Yadav (https://twitter.com/PratikY9967)
  • Akshaykumar Kokitkar (https://mobile.twitter.com/cyber_agent2)
  • Shesha Sai C (https://www.linkedin.com/in/shesha-sai-c-18585b125)
  • Yash Agarwal (https://www.linkedin.com/in/yash-agarwal-17464715b)
  • Jan KOPEC(https://twitter.com/blogresponder)
  • Denis Burtanović
  • Hasibul Hasan Shawon -[Sec Miner's Bangladesh]
  • Georg Delp (https://www.linkedin.com/in/georgdelp/)
  • R Atik Islam (https://www.facebook.com/atik.islam.14661)
  • Jose Israel Nadal Vidal (https://twitter.com/perito_inf)
  • Thomas Grünert (https://de.linkedin.com/in/thomas-gr%C3%BCnert-250905168)
  • Matteo Bussani (https://www.linkedin.com/in/matteo-bussani-77b595198/)
  • Bing-Jhong Jheng (https://github.com/st424204/ctf_practice)
  • Swapnil Patil (https://www.linkedin.com/in/swapnil-patil-874223195)
  • Prakash Kumar Parthasarathy (https://www.linkedin.com/in/prakashofficial)
  • Kitab Ahmed (www.ahmed.science)
  • Ahmad Firmansyah (https://twitter.com/AhmdddFsyaaah)
  • Tiziano Di Vincenzo (https://www.linkedin.com/in/tiziano-d-3324a345/)
  • Pratik Vinod Yadav (https://www.linkedin.com/in/pratik-yadav-117463149)
  • Diwakar Kumar (https://www.linkedin.com/in/diwakar-kumar-5b3843114/)
  • Rushi Gayakwad
  • Yash Ahmed Quashim (https://www.facebook.com/abir.beingviper)
  • Swapnil Kothawade (https://twitter.com/Swapnil_Kotha?s=09)
  • Ankit Kumar (https://www.linkedin.com/in/ankit-kumar-42a644166/)
  • Aman Rai (https://www.linkedin.com/in/aman-rai-737a19146)
  • Rushikesh Gaikwad (https://www.linkedin.com/in/rushikesh-gaikwad-407163171)
  • Rupesh Tanaji Kokare (https://www.linkedin.com/in/rupesh-kokare-b63a78145/)
  • Sumit Jain (https://twitter.com/sumit_cfe)
  • Qian Chen of Qihoo 360 Nirvan Team
  • Vishal Vachheta (https://www.linkedin.com/in/vishal-vachheta-a30863122)
  • Zhong Zhaochen
  • Tomasz Grabowski
  • Nightwatch Cybersecurity Research (https://wwws.nightwatchcybersecurity.com)
  • Safwat Refaat (https://twitter.com/Caesar302)
  • Agent22 (https://securelayer7.net/)
  • Hsiao-Yung Chen
  • Rich Mirch (https://blog.mirch.io)
  • Ronak Nahar (https://www.linkedin.com/in/naharronak/)
  • Noman Shaikh (https://twitter.com/nomanAli181)
  • David Deller (https://horizon-nigh.org)
  • Mehedi Hasan (SecMiners BD) (https://www.facebook.com/polapan.1337)
  • Touhid M Shaikh (https://touhidshaikh.com)
  • Abhishek Gaikwad
  • Kitabuddin Ahmed
  • Noman Shaikh (https://twitter.com/nomanAli181)
  • Ajit Sharma (https://www.linkedin.com/in/ajit-sharma-90483655)
  • Agung Saputra Ch Lages (https://twitter.com/lagesgeges)
  • Dan Thomsen (www.thomsen.fo)
  • Erik de Jong (https://eriknl.github.io)
  • Sphinx 1,2 (https://www.facebook.com/Sphinx01.10/)
  • AHMED ELSADAT (https://www.linkedin.com/in/ahmed-elsadat-138755133/)
  • Hasibul Hasan (SecMiner)
  • Mohammed Eldawody (www.fb.com/eldawody0)
  • Chris Schneider
  • Abdullah Fares Muhanna (https://www.facebook.com/AbedullahFares)
  • Nick Blyumberg (https://www.linkedin.com/in/nickblyumberg/)
  • Axel Peters
  • Muhammad Junaid Abdullah (https://twitter.com/an0n_j)
  • Kyle Green
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady)
  • Dankel Ahmed (https://hackerone.com/kitab)
  • ShuangYY
  • HackTrack Security
  • Muhammed Ashmil K K (Kavuthukandiyil)
  • Muhammad Junaid Abdullah (https://twitter.com/snoviboy)
  • Kishan kumar (https://facebook.com/noobieboy007)
  • Lays (http://l4ys.tw)
  • Ashish Kumar (https://www.facebook.com/buggyashish)
  • Lakshay Gupta (http://linkedin.com/in/lakshay-gupta-44102a143)
  • Meng-Huan Yu (https://www.linkedin.com/in/cebrusfs/)
  • Ifrah Iman (http://www.ifrahiman.com)
  • Mohammed Israil (https://www.facebook.com/VillageLad, https://www.linkedin.com/in/mohammed-israil-221656128)
  • Taien Wang (https://www.linkedin.com/in/taienwang/)
  • Emad Shanab (@Alra3ees) (https://twitter.com/Alra3ees?s=09)
  • குகன் ராஜா (Havoc Guhan) (https://fb.com/havocgwen)
  • Yasser Gersy (https://twitter.com/yassergersy)
  • Ismail Tasdelen (https://www.linkedin.com/in/ismailtasdelen)
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady)
  • Oliver Kramer (https://www.linkedin.com/in/oliver-kramer-670206b5)
  • 1N3@CrowdShield (https://crowdshield.com)
  • louys, Xie Wei (解炜), Li Yanlong (李衍龙)
  • Zuo Chaoshun (https://www.linkedin.com/in/chaoshun-zuo-5b9559111/)
  • Ali Razzaq (https://twitter.com/AliRazzaq_)
  • 丁諭祺(Yu-Chi Ding) from DEVCORE CHROOT
  • Alex Weber (www.broot.ca)
  • Alex Bastrakov (https://twitter.com/kazan71p)
  • Mehidia Tania (https://www.beetles.io)
  • freetsubasa (https://twitter.com/freetsubasa)
  • Łukasz Rutkowski (http://www.forit.pl/)
  • Maximilian Tews (www.linkedin.com/in/maximilian-tews)
  • Bryan Galao (https://www.facebook.com/xbryan.galao)
  • Jim Zhou (vip-cloud.cn)
  • Chun Han Hsiao
  • Nightwatch Cybersecurity Research (https://wwws.nightwatchcybersecurity.com)
  • Olivier Bédard
  • Mohamed Eldawody (https://www.facebook.com/Eldawody0)
  • Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
  • 郑吉宏通过 GeekPwn 平台提交
  • Independent Security Evaluators (ISE) labs
  • Independent security researcher, MengHuan Yu, has reported this vulnerability to Beyond Security’s SecuriTeam Secure Disclosure program
  • B.Dhiyaneshwaran (https://www.linkedin.com/in/dhiyaneshwaran-b-27947a131/)
  • Freiwillige Feuerwehr Rohrbach (www.ff-rohrbach.de)
  • Uriya Yavnieli from VDOO (https://vdoo.com)
  • Jung Chan Hyeok
  • Zhong Zhaochen (http://asnine.com)
  • Honc 章哲瑜 (https://www.facebook.com/you.toshoot)
  • Sumit Jain
  • Ketankumar B. Godhani (https://twitter.com/KBGodhani)
  • karthickumar (Ramanathapuram)
  • Alireza Azimzadeh Milani
  • Taien Wang (https://www.facebook.com/taien.tw)
  • Frédéric Crozat (http://blog.crozat.net/)
  • Muhammad Hassaan Khan (https://www.facebook.com/Profile.Hassaan)
  • SSD/Kacper Szurek
  • Alexander Drabek (https://www.2-sec.com/)
  • RAVELA PRAMOD KUMAR (https://mobile.twitter.com/PramodRavela)
  • Kushal Arvind Shah of Fortinet’s FortiGuard Labs
  • Alvin Poon (https://alvinpoon.myportfolio.com/)
  • C.shahidyan, C.Akilan, K.Sai Aswanth
  • BambooFox (https://bamboofox.github.io/)
  • Sajibe Kanti (https://twitter.com/sajibekantibd)
  • Huy Kha (linkedin.com/in/huykha)
  • Pal Patel (https://www.linkedin.com/in/pal434/)
  • Pethuraj M (https://www.linkedin.com/in/pethu/)
  • Ali Ashber (https://www.facebook.com/aliashber7)
  • Muzammil Abbas Kayani (@muzammilabbas2 )
  • Tayyab Qadir (facebook.com/tqMr.EditOr)
  • Babar Khan Akhunzada (www.SecurityWall.co)
  • Mahad Ahmed (https://octadev.com.pk)
  • JD Duh (blog.johndoe.tw, www.linkedin.com/in/JD-Duh)
  • Mubassir Kamdar (http://www.mubassirkamdar.com)
  • Daniel Díez Tainta (https://twitter.com/danilabs)
  • Tushar Rawool (twitter.com/tkrawool)
  • Thrivikram Gujarathi (https://www.linkedin.com/in/thrivikram-gujarathi-certified-ethical-hacker-bug-bounty-hunter-53074796)
  • Ashish Kunwar (twitter: @D0rkerDevil)
  • Steven Hampton (Twitter: @Keritzy, https://stevenh.neocities.org/)
  • Peter Bennink (https://www.linkedin.com/in/peter-bennink/)
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady/)
  • Roopak Voleti (https://m.facebook.com/sairoopak.voleti)