Seems like there is a more localized page available for your location.
Store

Contenuto del carrello ()

Totale (undefined articolo/i)Incl. IVA undefined%. La spedizione verrà calcolata al checkout.

Continua gli acquisti

Serie Bee di Synology
Prodotti dalla A alla Z
Store
Programma di Ricompensa per Bug di Sicurezza
Poiché le minacce evolvono e aumentano sia in frequenza che in sofisticazione, Synology sta lavorando con i ricercatori di sicurezza per mantenere e rafforzare ulteriormente le nostre protezioni.
Ambito del prodottoQuesto programma accetta solo segnalazioni di vulnerabilità relative ai prodotti e ai servizi web di Synology. Le segnalazioni di vulnerabilità che esulano dall'ambito del programma generalmente non si qualificano per le ricompense; tuttavia, le segnalazioni di vulnerabilità critiche fuori dall'ambito possono essere accettate a seconda della situazione.

Sistemi operativi

Premi fino a

30000

Include Synology DiskStation Manager, Synology Router Manager e Synology BeeStation.

Per saperne di più

Software e servizi cloud C2

Premi fino a

10000

Include pacchetti software sviluppati da Synology, app mobili correlate e servizi cloud C2.

Per saperne di più

Servizi web

Premi fino a

5000

Include tutti i principali servizi web di Synology.

Per saperne di più
Dettagli del premio
Criteri di idoneità per la ricompensa
Fornisci tutte le informazioni necessarie per riprodurre i problemi segnalati. La dimensione di ogni ricompensa dipende dalla gravità della vulnerabilità segnalata e dalla categoria di prodotto interessata.Per qualificarsi per le ricompense monetarie, le segnalazioni devono soddisfare i seguenti criteri:
  1. Sei il primo ricercatore a segnalare questa vulnerabilità
  2. La vulnerabilità segnalata è confermata essere verificabile, replicabile e un valido problema di sicurezza
  3. Il tuo rapporto è conforme ai termini e regolamenti del Programma di Ricompense
Segnalazione di bug di sicurezzaSe credi di aver trovato una vulnerabilità, segui i passaggi sottostanti:
Passo 1

Contattaci utilizzando il modulo di contatto del Programma dei premi.

Passo 2

Utilizza questa chiave PGP per crittografare le informazioni quando invii report di bug a Synology.

Passo 3

Includi una prova di concetto (PoC) dettagliata e assicurati che i problemi segnalati possano essere riprodotti.

Passo 4

Mantieni la tua descrizione concisa. Ad esempio, un link di prova di concetto breve è più apprezzato di un video che spiega le conseguenze di un problema SSRF.

Le tue e le nostre responsabilitàLa tua segnalazionePer ridurre il nostro tempo di elaborazione, una buona segnalazione di vulnerabilità dovrebbe:
  1. Contenere una descrizione chiaramente scritta passo dopo passo in inglese su come riprodurre la vulnerabilità
  2. Dimostrare come la vulnerabilità influisce sui prodotti o sui servizi web di Synology, e descrivere quali versioni e piattaforme sono interessate
  3. Indicare i danni potenziali causati dalla vulnerabilità segnalata
La nostra risposta
Il Team di Sicurezza di Synology risponderà alla tua segnalazione entro 7 giorni e aggiornerà regolarmente lo stato e risolverà la vulnerabilità il più presto possibile, a seconda della gravità della minaccia.Se la tua segnalazione di vulnerabilità è idonea a ricevere un premio monetario, il tuo nome sarà riportato nella pagina Avvisi sulla sicurezza dei prodotti Synology sul nostro sito web ufficiale, in segno di apprezzamento.Questo processo richiederà almeno 90 giorni. La tua ricompensa ti sarà trasferita al termine del processo.
Note:Synology si riserva il diritto di modificare o annullare questo programma, inclusi i suoi regolamenti, in qualsiasi momento senza preavviso.
Sistemi operativi
Ricompensa

I rapporti qualificati sono idonei per una ricompensa fino a 30.000 dollari USA.*

Prodotti nell'ambito

Sono accettate solo segnalazioni su versioni ufficialmente rilasciate.

DiskStation Manager (DSM)

  • DSM 7 (ultima versione)

Gestore del Router di Synology (SRM)

  • SRM 1.3 (ultima versione)

Firmware della Camera di Synology

  • Firmware 1.1 (ultima versione)

Synology BeeStation

  • BeeStation OS 1.0 (ultima versione)
Regolamenti e restrizioni

Questo programma è strettamente limitato alle vulnerabilità di sicurezza trovate nei prodotti e servizi di Synology. Azioni che potrebbero danneggiare o influenzare negativamente i server o i dati di Synology sono severamente vietate. I test di vulnerabilità non devono violare le leggi locali o taiwanesi.

I rapporti di vulnerabilità non sono accettati nel programma se descrivono o coinvolgono:

  1. Attacchi DoS (Denial of Service) ai server di Synology o degli utenti
  2. Test di vulnerabilità che danneggiano i server o i dati di Synology o degli utenti
  3. Attacchi fisici o ingegneria sociale
  4. Divulgazione delle informazioni sui bug prima dell'approvazione da parte di Synology
  5. Vulnerabilità non critiche in servizi o prodotti obsoleti
  6. Vulnerabilità che colpiscono solo browser web obsoleti
  7. La maggior parte dei tipi di attacco brute-force
  8. Attacchi XSS riflessi o attacchi XSS auto-inflitti
  9. Vulnerabilità che coinvolgono phishing, creazione di siti web falsi o frodi
  10. Rapporti di scansione delle vulnerabilità che non dettagliano gli effetti della vulnerabilità
  11. Indicazioni che le porte predefinite sono vulnerabili, ma senza fornire una PoC
  12. Vulnerabilità teoriche senza una concreta Prova di Concetto (PoC)
  13. I reindirizzamenti aperti da soli sono generalmente considerati informativi e non danno diritto a ricompense a meno che non contribuiscano a una vulnerabilità più significativa
  14. Mancanza di intestazioni di sicurezza che non portano direttamente a sfruttamenti
  15. Mancanza di flag di sicurezza nei cookie
  16. Enumerazione degli utenti. I rapporti che descrivono l'enumerazione degli utenti non sono nell'ambito a meno che non si possa dimostrare che non abbiamo limiti di velocità in atto per proteggere i nostri utenti.
*Vedi la pagina dei dettagli delle ricompense sulla pagina web del Programma Bug di Sicurezza per ulteriori dettagli.
**La ricompensa massima per le vulnerabilità in SRM_LAN è $5,000.
***La ricompensa massima per le vulnerabilità nel firmware della videocamera è $10,000.
Software e servizi cloud C2
Ricompensa

I rapporti qualificati sono idonei per una ricompensa fino a 10.000 dollari USA.*

Prodotti nell'ambito

Sono accettati solo rapporti su versioni ufficialmente rilasciate.

Pacchetti

Pacchetti software sviluppati da Synology

Client desktop

Applicazioni sviluppate da Synology per Windows, macOS e Linux

App mobili

App mobili sviluppate da Synology per Android e iOS

Account Synology

  • *.account.synology.com domini
  • *.identity.synology.com domini

Servizi C2

*.c2.synology.com domini

Regolamenti e restrizioni

Questo programma è strettamente limitato alle vulnerabilità di sicurezza trovate nei prodotti e servizi Synology. Azioni che potrebbero potenzialmente danneggiare o influenzare negativamente i server o i dati di Synology sono severamente vietate. I test di vulnerabilità non devono violare le leggi locali o taiwanesi.

I rapporti di vulnerabilità non sono accettati nel programma se descrivono o coinvolgono:

  1. Attacchi DoS (Denial of Service) ai server di Synology o degli utenti
  2. Test di vulnerabilità che danneggiano i server o i dati di Synology o degli utenti
  3. Attacchi fisici o ingegneria sociale
  4. Divulgazione delle informazioni sui bug prima dell'approvazione da parte di Synology
  5. Vulnerabilità non critiche in servizi o prodotti obsoleti
  6. Vulnerabilità che colpiscono solo browser web obsoleti
  7. La maggior parte dei tipi di attacco brute-force
  8. Attacchi XSS riflessi o attacchi XSS auto-inflitti
  9. Vulnerabilità che coinvolgono phishing, creazione di siti web falsi o frodi
  10. Rapporti di scansione delle vulnerabilità che non dettagliano gli effetti della vulnerabilità
  11. Indicazioni che le porte predefinite sono vulnerabili, ma senza fornire una PoC
  12. Vulnerabilità teoriche senza una concreta Prova di Concetto (PoC)
  13. I reindirizzamenti aperti da soli sono generalmente considerati informativi e non danno diritto a ricompense a meno che non contribuiscano a una vulnerabilità più significativa
  14. Mancanza di intestazioni di sicurezza che non portano direttamente a sfruttamenti
  15. Mancanza di flag di sicurezza nei cookie
  16. Enumerazione degli utenti. I rapporti che descrivono l'enumerazione degli utenti non sono nell'ambito a meno che non si possa dimostrare che non abbiamo limiti di velocità in atto per proteggere i nostri utenti.
*Consulta la pagina dei dettagli delle ricompense sul sito web del programma di bug di sicurezza per ulteriori dettagli.
Web servizi
Ricompensa

I rapporti qualificati sono idonei per una ricompensa fino a 5.000 dollari USA.*

Prodotti nell'ambito

I seguenti domini (inclusi i sottodomini) sono nell'ambito:

*.synology.com

I seguenti domini (inclusi i sottodomini) sono esclusi dall'ambito:

openstack-ci-logs.synology.com, router.synology.com

Synology si riserva il diritto di modificare questa lista in qualsiasi momento senza preavviso.

Regolamenti e restrizioni

Questo programma è strettamente limitato alle vulnerabilità di sicurezza riscontrate nei prodotti e servizi Synology. Azioni che potrebbero danneggiare o influenzare negativamente i server o i dati di Synology sono severamente vietate. I test di vulnerabilità non devono violare le leggi locali o taiwanesi.

Le segnalazioni di vulnerabilità non sono accettate nel programma se descrivono o coinvolgono:

  1. Attacchi DoS (Denial of Service) sui server di Synology o degli utenti
  2. Test di vulnerabilità che sono dannosi per i server o i dati di Synology o degli utenti
  3. Attacchi fisici o ingegneria sociale
  4. Divulgazione delle informazioni sui bug prima dell'approvazione da parte di Synology
  5. Directory traversal su https://*archive.synology.com
  6. Download di file riflessi
  7. Problemi di banner grabbing o divulgazione della versione del software
  8. Vulnerabilità 0-day divulgate entro 90 giorni
  9. Vulnerabilità non critiche in servizi o prodotti obsoleti
  10. Vulnerabilità che colpiscono solo browser web obsoleti
  11. La maggior parte dei tipi di attacco brute-force
  12. Attacchi XSS riflessi o attacchi XSS auto-inflitti
  13. Vulnerabilità che coinvolgono phishing, creazione di siti web falsi o frodi
  14. Rapporti di scansione di vulnerabilità che non dettagliano gli effetti della vulnerabilità
  15. Indicazioni che le porte predefinite sono vulnerabili, ma senza fornire una PoC
  16. Vulnerabilità teoriche prive di una concreta Prova di Concetto (PoC)
  17. I reindirizzamenti aperti sono generalmente considerati informativi e non si qualificano per premi a meno che non contribuiscano a una vulnerabilità più significativa
  18. Mancanza di intestazioni di sicurezza che non portano direttamente a sfruttamenti
  19. Mancanza di flag di sicurezza nei cookie
  20. Enumerazione degli utenti. Le segnalazioni che delineano l'enumerazione degli utenti non sono nell'ambito a meno che non si possa dimostrare che non abbiamo limiti di frequenza in atto per proteggere i nostri utenti.
*Consulta la pagina dei dettagli delle ricompense sul sito web del programma di bug di sicurezza per ulteriori dettagli.
Dettagli del premio
Questa pagina è progettata per aiutare i ricercatori a comprendere le ricompense massime potenziali per tipi specifici di vulnerabilità e per evidenziare i tipi di vulnerabilità che Synology valuta di più. Apprezziamo i tuoi contributi e siamo dedicati a premiare equamente ricerche di sicurezza significative.Le ricompense indicate nella tabella mostrano il massimo possibile per ogni categoria, ma non tutti i rapporti qualificati hanno la garanzia di ricevere l'importo elencato.*
Critico
Sistemi operativiServizi software e C2 cloudServizi web
Zero-click pre-auth RCE$30,000$10,000$5,000
Zero-click pre-auth arbitrary file r/w$9,000$4,600$2,400
Importante
Sistemi operativiServizi software e C2 cloudServizi web
1-click pre-auth RCE$8,000$4,000$2,000
Zero-click normal-user-auth RCE$7,500$3,900$1,900
Zero-click normal-user-auth arbitrary file r/w$6,500$3,400$1,700
Zero-click pre-auth RCE (AC:H)$6,500$3,400$1,700
1-click pre-auth RCE (AC:H)$5,000$2,500$1,325
pre-auth SQL injection$3,800$1,950$1,025
1-click normal-user-auth RCE (AC:H)$2,600$1,350$725
pre-auth stored XSS$2,600$1,350$725
Moderato
Sistemi operativiServizi software e C2 cloudServizi web
normal-user-auth stored XSS$1,350$733$417
normal-user-auth SQL injection$1,200$607$353
admin-auth vulnerabilities$100$100$100
  1. A partire dal 1 ottobre 2024, le ricompense per le vulnerabilità admin-auth saranno fissate a $100 USD.
  2. Per i Client Desktop, se il vettore CVSS include uno dei seguenti, la ricompensa è fissata a $100 USD:
    • AV:L
    • AV:A
    • AV:N/AC:H

Note:

  • Si prega di notare che, sebbene siano fornite linee guida per le ricompense, ogni rapporto è trattato individualmente e valutato accuratamente. La valutazione considera vari fattori, inclusi ma non limitati all'ambito dettagliato nella rubrica delle ricompense. Synology si riserva il diritto di interpretazione finale degli importi delle ricompense.
  • Per le questioni classificate come di bassa gravità o suggerimenti, verranno forniti solo riconoscimenti.
FAQCome dovrei segnalare una vulnerabilità?Fornire PoC (Proof of Concept) dettagliati e verificare che i problemi riportati siano riproducibili. Utilizzare questa chiave di crittografia PGP offerta da Synology quando si inviano report di bug e non divulgare le informazioni rilevanti a terze parti.Chi è responsabile per determinare se la mia segnalazione di bug è idonea per un premio?Tutte le segnalazioni di bug sono esaminate e valutate dal Team di Sicurezza Synology, composto dagli analisti di sicurezza senior di Synology.Quali sono le conseguenze se un bug viene divulgato pubblicamente prima di essere corretto?Ci impegniamo a rispondere prontamente alle segnalazioni di bug e a risolverli entro un periodo di tempo ragionevole. Ti preghiamo di notificarci in anticipo prima di divulgare pubblicamente le informazioni sul bug. Qualsiasi divulgazione di bug che non segue questo principio non sarà qualificata per una ricompensa.Le vulnerabilità trovate in software obsoleto come Apache o Nginx sono qualificate per un premio?Si prega di identificare le vulnerabilità nel software e spiegare perché si sospetta che siano dannose per l'uso del software. Le segnalazioni che omettono questo tipo di informazioni di solito non sono qualificate per un premio.Posso richiedere che il mio nome non sia elencato sulla pagina di Avviso di Sicurezza di Synology?Sì. Puoi richiedere di non essere elencato sulla nostra pagina di Avviso di Sicurezza. Tuttavia, se sei qualificato per un premio e desideri accettarlo, avremo comunque bisogno delle tue informazioni di contatto per elaborare il pagamento.Le vulnerabilità sono ancora idonee per un premio se sono segnalate a broker di vulnerabilità?Divulgare privatamente una vulnerabilità a terze parti per scopi diversi dalla correzione di bug è contrario allo spirito del nostro programma. Pertanto, tali segnalazioni non saranno qualificate per un premio.Chi è qualificato per un premio se lo stesso bug è segnalato da più di una persona?Il premio è concesso alla prima persona che scopre una vulnerabilità che era precedentemente sconosciuta a noi.
RiconoscimentoDesideriamo esprimere un ringraziamento ai ricercatori e alle organizzazioni di sicurezza che ci hanno aiutato.
  • David Oxley
  • Abdelali Chekiel
  • Sahil Shah (https://www.linkedin.com/in/sahilshah3276/)
  • @sunscan@infosec.exchange