Seems like there is a more localized page available for your location.
Store

Resumen de la cesta ()

Total (undefined artículos)Incl. IVA undefined%. El envío se calculará al finalizar la compra.

Continúe comprando

Serie Bee de Synology
Productos A-Z
Store
Programa de recompensas por errores de seguridad
A medida que las amenazas evolucionan y aumentan en frecuencia y sofisticación, Synology está trabajando con investigadores de seguridad para mantener y fortalecer aún más nuestras protecciones.
Ámbito del productoEste programa solo acepta informes de vulnerabilidad relacionados con los productos y servicios web de Synology. Los informes de vulnerabilidad que están fuera del alcance del programa generalmente no califican para recompensas; sin embargo, los informes fuera de alcance de vulnerabilidades críticas pueden ser aceptados dependiendo de la situación.

Sistemas operativos

Recompensas de hasta

30000

Incluye Synology DiskStation Manager, Synology Router Manager y Synology BeeStation.

Obtener más información

Software y servicios en la nube C2

Recompensas de hasta

10000

Incluye paquetes de software desarrollados por Synology, aplicaciones móviles relacionadas y servicios en la nube C2.

Obtener más información

Web servicios

Recompensas de hasta

5000

Incluye todos los principales servicios web de Synology.

Obtener más información
Detalles de la recompensa
Criterios de elegibilidad para recompensas
Proporciona cualquier información que necesitemos para reproducir los problemas reportados. El tamaño de cada recompensa depende de la gravedad de la vulnerabilidad reportada y de la categoría del producto afectado.Para calificar para recompensas monetarias, los informes deben cumplir con los siguientes criterios:
  1. Eres el primer investigador en reportar esta vulnerabilidad
  2. La vulnerabilidad reportada está confirmada como verificable, replicable y un problema de seguridad válido
  3. Tu informe cumple con los términos y regulaciones del Programa de Recompensas
Reporte de errores de seguridadSi crees que has encontrado una vulnerabilidad, sigue los pasos a continuación:
Paso 1

Póngase en contacto con nosotros mediante el formulario de contacto del Programa de recompensas.

Paso 2

Utilice esta clave PGP para cifrar su información al enviar informes de errores a Synology.

Paso 3

Incluye un concepto de prueba (PoC) detallado y asegúrate de que los problemas reportados puedan ser reproducidos.

Paso 4

Mantén tu descripción sucinta. Por ejemplo, un enlace de prueba de concepto corto es más valorado que un video que explica las consecuencias de un problema de SSRF.

Tus y nuestras responsabilidadesTu informePara reducir nuestro tiempo de procesamiento, un buen informe de vulnerabilidad debe:
  1. Contener una descripción claramente escrita paso a paso en inglés de cómo reproducir la vulnerabilidad
  2. Demostrar cómo la vulnerabilidad afecta a los productos o servicios web de Synology, y describir qué versiones y plataformas están afectadas
  3. Indicar el daño potencial causado por la vulnerabilidad reportada
Nuestra respuesta
El equipo de seguridad de Synology responderá a tu informe en 7 días y actualizará regularmente el estado y corregirá la vulnerabilidad lo antes posible, dependiendo de la gravedad de la amenaza.Si su informe de vulnerabilidad cumple con los requisitos para una recompensa monetaria, su nombre aparecerá en la página de asesoramiento de seguridad de productos de Synology en nuestro sitio web oficial como un gesto de agradecimiento.Este proceso tomará al menos 90 días. Tu recompensa será transferida a ti al completar el proceso.
Observaciones:Synology se reserva el derecho de cambiar o cancelar este programa, incluidas sus políticas, en cualquier momento sin previo aviso.
Sistemas operativos
Recompensa

Los informes calificados son elegibles para una recompensa de hasta US$30,000.*

Productos dentro del alcance

Solo se aceptan informes sobre versiones oficialmente lanzadas.

DiskStation Manager (DSM)

  • DSM 7 (última versión)

Administrador de enrutadores Synology (SRM)

  • SRM 1.3 (última versión)

Firmware de cámara Synology

  • Firmware 1.1 (última versión)

Synology BeeStation

  • BeeStation OS 1.0 (última versión)
Regulaciones y restricciones

Este programa está estrictamente limitado a vulnerabilidades de seguridad encontradas en productos y servicios de Synology. Las acciones que podrían dañar potencialmente o afectar negativamente a los servidores o datos de Synology están estrictamente prohibidas. Las pruebas de vulnerabilidad no deben violar las leyes locales o taiwanesas.

Los informes de vulnerabilidad no son aceptados bajo el programa si describen o involucran:

  1. Ataques de DoS (Denegación de Servicio) en servidores de Synology o de usuarios
  2. Pruebas de vulnerabilidad que son perjudiciales para los servidores o datos de Synology o de usuarios
  3. Ataques físicos o ingeniería social
  4. Divulgación de información sobre errores antes de la aprobación por parte de Synology
  5. Vulnerabilidades no críticas en servicios o productos obsoletos
  6. Vulnerabilidades que afectan solo a navegadores web obsoletos
  7. La mayoría de los tipos de ataques de fuerza bruta
  8. Ataques XSS reflejados o ataques XSS propios
  9. Vulnerabilidades que involucran phishing, creación de sitios web falsos o cometer fraude
  10. Informes de escaneo de vulnerabilidades que no detallan los efectos de la vulnerabilidad
  11. Indicaciones de que los puertos predeterminados son vulnerables, pero sin proporcionar un PoC
  12. Vulnerabilidades teóricas que carecen de un Concepto de Prueba (PoC) concreto
  13. Las redirecciones abiertas por sí solas generalmente se consideran informativas y no califican para recompensas a menos que contribuyan a una vulnerabilidad más significativa
  14. Falta de encabezados de seguridad que no conducen directamente a la explotación
  15. Falta de banderas de seguridad en cookies
  16. Enumeración de usuarios. Los informes que describen la enumeración de usuarios no están dentro del alcance a menos que pueda demostrar que no tenemos límites de tasa establecidos para proteger a nuestros usuarios.
*Para más información, consulte la página de detalles de recompensas en la web del programa de problemas de seguridad.
**La recompensa máxima por vulnerabilidades en SRM_LAN es de $5,000.
***La recompensa máxima por vulnerabilidades en el firmware de la cámara es de $10,000.
Software y servicios en la nube C2
Recompensa

Los informes calificados son elegibles para una recompensa de hasta US$10,000.*

Productos dentro del alcance

Solo se aceptan informes sobre versiones oficialmente lanzadas.

Paquetes

Paquetes de software desarrollados por Synology

Clientes de escritorio

Aplicaciones de Synology desarrolladas para Windows, macOS y Linux

Aplicaciones móviles

Aplicaciones móviles desarrolladas por Synology para Android e iOS

Cuenta de Synology

  • *.account.synology.com dominios
  • *.identity.synology.com dominios

Servicios C2

*.c2.synology.com dominios

Regulaciones y restricciones

Este programa está estrictamente limitado a vulnerabilidades de seguridad encontradas en productos y servicios de Synology. Las acciones que podrían dañar potencialmente o afectar perjudicialmente a los servidores o datos de Synology están estrictamente prohibidas. Las pruebas de vulnerabilidad no deben violar las leyes locales o de Taiwán.

Los informes de vulnerabilidad no son aceptados bajo el programa si describen o involucran:

  1. Ataques de DoS (Denegación de Servicio) en servidores de Synology o de usuarios
  2. Pruebas de vulnerabilidad que son perjudiciales para los servidores o datos de Synology o de usuarios
  3. Ataques físicos o ingeniería social
  4. Divulgación de información sobre errores antes de la aprobación por parte de Synology
  5. Vulnerabilidades no críticas en servicios o productos obsoletos
  6. Vulnerabilidades que afectan solo a navegadores web obsoletos
  7. La mayoría de los tipos de ataques de fuerza bruta
  8. Ataques XSS reflejados o ataques XSS propios
  9. Vulnerabilidades que involucran phishing, creación de sitios web falsos o cometer fraude
  10. Informes de escaneo de vulnerabilidades que no detallan los efectos de la vulnerabilidad
  11. Indicaciones de que los puertos predeterminados son vulnerables, pero sin proporcionar un PoC
  12. Vulnerabilidades teóricas que carecen de un Concepto de Prueba (PoC) concreto
  13. Las redirecciones abiertas por sí solas generalmente se consideran informativas y no califican para recompensas a menos que contribuyan a una vulnerabilidad más significativa
  14. Falta de encabezados de seguridad que no conducen directamente a la explotación
  15. Falta de banderas de seguridad en cookies
  16. Enumeración de usuarios. Los informes que describen la enumeración de usuarios no están dentro del alcance a menos que pueda demostrar que no tenemos límites de tasa establecidos para proteger a nuestros usuarios.
*Consulte la página de Detalles de Recompensa en la página web del Programa de Errores de Seguridad para más detalles.
Web servicios
Recompensa

Los informes calificados son elegibles para una recompensa de hasta US$5,000.*

Productos dentro del alcance

Los siguientes dominios (incluidos los subdominios) están dentro del alcance:

*.synology.com

Los siguientes dominios (incluidos los subdominios) están fuera del alcance:

openstack-ci-logs.synology.com, router.synology.com

Synology se reserva el derecho de modificar esta lista en cualquier momento sin previo aviso.

Regulaciones y restricciones

Este programa está estrictamente limitado a vulnerabilidades de seguridad encontradas en productos y servicios de Synology. Las acciones que podrían dañar o afectar negativamente a los servidores o datos de Synology están estrictamente prohibidas. Las pruebas de vulnerabilidad no deben violar las leyes locales o de Taiwán.

Los informes de vulnerabilidad no son aceptados bajo el programa si describen o involucran:

  1. Ataques de denegación de servicio (DoS) en los servidores de Synology o de los usuarios
  2. Pruebas de vulnerabilidad que son perjudiciales para los servidores o datos de Synology o de los usuarios
  3. Ataques físicos o ingeniería social
  4. Divulgación de información de errores antes de la aprobación por Synology
  5. Travesía de directorios en https://*archive.synology.com
  6. Descarga de archivos reflejada
  7. Problemas de captura de banners o divulgación de versión de software
  8. Vulnerabilidad de día cero divulgada dentro de los 90 días
  9. Vulnerabilidades no críticas en servicios o productos desactualizados
  10. Vulnerabilidades que afectan solo a navegadores web desactualizados
  11. La mayoría de los tipos de ataques de fuerza bruta
  12. Ataques XSS reflejados o ataques XSS propios
  13. Vulnerabilidades que involucran phishing, creación de sitios web falsos o cometer fraude
  14. Informes de escaneo de vulnerabilidades que no detallan los efectos de la vulnerabilidad
  15. Indicaciones de que los puertos predeterminados son vulnerables, pero sin proporcionar un PoC
  16. Vulnerabilidades teóricas que carecen de un concepto de prueba concreto (PoC)
  17. Las redirecciones abiertas por sí solas generalmente se consideran informativas y no califican para recompensas a menos que contribuyan a una vulnerabilidad más significativa
  18. Falta de encabezados de seguridad que no conducen directamente a la explotación
  19. Falta de banderas de seguridad en cookies
  20. Enumeración de usuarios. Los informes que describen la enumeración de usuarios no están dentro del alcance a menos que pueda demostrar que no tenemos límites de tasa establecidos para proteger a nuestros usuarios.
*Consulte la página de Detalles de Recompensa en la página web del Programa de Errores de Seguridad para más detalles.
Detalles de la recompensa
Esta página está diseñada para ayudar a los investigadores a entender las recompensas máximas potenciales para tipos específicos de vulnerabilidades y para destacar los tipos de vulnerabilidades que más valora Synology. Valoramos tus contribuciones y estamos dedicados a recompensar de manera justa investigaciones de seguridad significativas.Las recompensas en la tabla muestran el máximo posible para cada categoría, pero no todos los informes que califiquen están garantizados a recibir el monto listado.*
Crítico
Sistemas operativosServicios de software y nube C2Web servicios
Zero-click pre-auth RCE$30,000$10,000$5,000
Zero-click pre-auth arbitrary file r/w$9,000$4,600$2,400
Importante
Sistemas operativosServicios de software y nube C2Web servicios
1-click pre-auth RCE$8,000$4,000$2,000
Zero-click normal-user-auth RCE$7,500$3,900$1,900
Zero-click normal-user-auth arbitrary file r/w$6,500$3,400$1,700
Zero-click pre-auth RCE (AC:H)$6,500$3,400$1,700
1-click pre-auth RCE (AC:H)$5,000$2,500$1,325
pre-auth SQL injection$3,800$1,950$1,025
1-click normal-user-auth RCE (AC:H)$2,600$1,350$725
pre-auth stored XSS$2,600$1,350$725
Moderado
Sistemas operativosServicios de software y nube C2Web servicios
normal-user-auth stored XSS$1,350$733$417
normal-user-auth SQL injection$1,200$607$353
admin-auth vulnerabilities$100$100$100
  1. A partir del 1 de octubre de 2024, las recompensas por vulnerabilidades de admin-auth se establecerán en $100 USD.
  2. Para Clientes de PC's, si el vector CVSS incluye cualquiera de los siguientes, la recompensa se establece en $100 USD:
    • AV:L
    • AV:A
    • AV:N/AC:H

Observaciones:

  • Tenga en cuenta que, aunque se proporcionan directrices para las recompensas, cada informe se trata de manera individual y se evalúa minuciosamente. La puntuación considera varios factores, incluyendo pero no limitado al alcance detallado en la rúbrica de recompensas. Synology se reserva el derecho a la interpretación final de los montos de las recompensas.
  • Para problemas clasificados como de baja severidad o sugerencias, solo se proporcionarán reconocimientos.
Preguntas más frecuentes¿Cómo debo reportar una vulnerabilidad?Proporcione una PoC (prueba de concepto) detallada y asegúrese de que los problemas notificados se pueden reproducir. Utilice este cifrado de clave PGP que ofrece Synology cuando nos envíe informes de errores y no revele la información relevante a terceros.¿Quién es responsable de determinar si mi informe de errores es elegible para una recompensa?Todos los informes de errores son revisados y evaluados por el Equipo de Seguridad de Synology, que está compuesto por analistas de seguridad senior de Synology.¿Cuál es la consecuencia si un error se divulga públicamente antes de ser corregido?Nos esforzamos en responder a los informes de errores de manera pronta y en corregirlos en un plazo razonable. Por favor notifíquenos con antelación antes de divulgar públicamente la información del error. Cualquier divulgación de errores sin seguir este principio no será calificada para una recompensa.¿Las vulnerabilidades encontradas en software obsoleto como Apache o Nginx califican para una recompensa?Por favor identifique las vulnerabilidades en el software y explique por qué sospecha que son perjudiciales para el uso del software. Los informes que omiten este tipo de información generalmente no califican para una recompensa.¿Puedo solicitar que mi nombre no aparezca en la página de Aviso de Seguridad de Synology?Sí. Puede solicitar no aparecer en nuestra página de Aviso de Seguridad. Sin embargo, si califica para una recompensa y desea aceptarla, aún necesitaremos su información de contacto para procesar el pago.¿Las vulnerabilidades siguen siendo elegibles para una recompensa si se informan a los corredores de vulnerabilidades?Divulgar privadamente una vulnerabilidad a terceros con fines distintos a la corrección de errores es contrario al espíritu de nuestro programa. Por lo tanto, tales informes no calificarán para una recompensa.¿Quién califica para una recompensa si el mismo error es reportado por más de una persona?La recompensa se otorga a la primera persona que descubre una vulnerabilidad que previamente era desconocida para nosotros.
ReconocimientoQueremos dar un reconocimiento a los investigadores y organizaciones de seguridad que nos han ayudado.
  • 2024
  • 2023
  • 2022
  • 2021
  • 2020
  • 2019
  • 2018
  • 2017
  • Khoadha from VCSLab of Viettel Cyber Security ( https://viettelcybersecurity.com/)
  • Tim Coen (https://security-consulting.icu/)
  • Mykola Grymalyuk from RIPEDA Consulting
  • Zhao Runzi (赵润梓)
  • Andrea Maugeri (https://www.linkedin.com/in/andreamaugeri)
  • Offensive Security Research @ Ronin (https://ronin.ae/)
  • Nathan (Yama) https://DontClickThis.run
  • M Tayyab Iqbal (www.alphainferno.com)
  • Only Hack in Cave (tr4ce(Jinho Ju), neko_hat(Dohwan Kim), tw0n3(Han Lee), Hc0wl(GangMin Kim)) (https://github.com/Team-OHiC)
  • Wonbeen Im, STEALIEN (https://stealien.com)
  • 赵润梓、李建申(https://lsr00ter.github.io)
  • Cheripally Sathwik (https://www.instagram.com/ethical_hacker_sathwik)
  • Steven Lin (https://x.com/5teven1in)
  • Qian Chen (@cq674350529) from Codesafe Team of Legendsec at QI-ANXIN Group
  • Mohd Ali (revengerali)
  • Orange Tsai (@orange_8361) from DEVCORE Research Team
  • Bocheng Xiang with FDU(@crispr)
  • HANRYEOL PARK, HYOJIN LEE, HYEOKJONG YUN, HYEONJUN LEE, DOWON KWAK, ZIEN (https://zi-en.io/)
  • Hydrobikz (https://www.linkedin.com/in/bikash-)
  • Can Acar (https://imcan.dev)
  • Yves Bieri of Compass Security (https://www.compass-security.com)
  • DEVCORE Research Team (https://devco.re/)
  • aoxsin (https://twitter.com/aoxsin)
  • Josh "JD" Byrnes (https://jd.byrnes.au/)