Seems like there is a more localized page available for your location.
Store

Overzicht winkelwagen ()

Totaal (undefined artikelen)Incl. BTW undefined%. De verzending wordt berekend bij het afrekenen.

Verder winkelen

Bee-serie van Synology
Producten A-Z
Store
Beveiligings Bug Bounty Programma
Naarmate bedreigingen evolueren en toenemen in zowel frequentie als verfijning, werkt Synology samen met beveiligingsonderzoekers om onze beschermingen te onderhouden en verder te versterken.
Product scopeDit programma accepteert alleen kwetsbaarheidsrapporten met betrekking tot Synology's producten en webservices. Kwetsbaarheidsrapporten die buiten de reikwijdte van het programma vallen, komen over het algemeen niet in aanmerking voor beloningen; echter, buiten-scope rapporten van kritieke kwetsbaarheden kunnen worden geaccepteerd afhankelijk van de situatie.

Besturingssystemen

Beloningen tot

30000

Bevat Synology DiskStation Manager, Synology Router Manager, en Synology BeeStation.

Meer informatie

Software en C2 cloud diensten

Beloningen tot

10000

Bevat door Synology ontwikkelde softwarepakketten, gerelateerde mobiele apps, en C2 cloud diensten.

Meer informatie

Web diensten

Beloningen tot

5000

Bevat alle belangrijke Synology webdiensten.

Meer informatie
Beloningsdetails
Criteria voor beloningsgeschiktheid
Geef alle informatie die we nodig hebben om de gemelde problemen te reproduceren. De grootte van elke beloning hangt af van de ernst van de gemelde kwetsbaarheid en welke productcategorie is getroffen.Om in aanmerking te komen voor geldelijke beloningen, moeten rapporten voldoen aan de volgende criteria:
  1. U bent de eerste onderzoeker die deze kwetsbaarheid meldt
  2. De gemelde kwetsbaarheid is bevestigd als verifieerbaar, reproduceerbaar en een geldig beveiligingsprobleem
  3. Uw rapport voldoet aan de voorwaarden en regelgeving van het Bounty Programma
Melden van beveiligingsbugsAls u denkt dat u een kwetsbaarheid heeft gevonden, volg dan de onderstaande stappen:
Stap 1

Neem contact met ons op via het contactformulier van het Bountyprogramma.

Stap 2

Gebruik deze PGP-sleutel om uw informatie te versleutelen wanneer u bugrapporten naar Synology verzendt.

Stap 3

Voeg een gedetailleerd bewijs van concept (PoC) toe en zorg ervoor dat de gemelde problemen kunnen worden gereproduceerd.

Stap 4

Houd uw beschrijving bondig. Bijvoorbeeld, een korte proof-of-concept link wordt hoger gewaardeerd dan een video die de gevolgen van een SSRF-probleem uitlegt.

Uw en onze verantwoordelijkhedenUw rapportOm onze verwerkingstijd te verminderen, moet een goed kwetsbaarheidsrapport:
  1. Bevat een duidelijk geschreven stap-voor-stap beschrijving in het Engels van hoe de kwetsbaarheid te reproduceren
  2. Demonstreer hoe de kwetsbaarheid Synology-producten of webservices beïnvloedt, en beschrijf welke versies en platforms zijn getroffen
  3. Geef de potentiële schade aan die door de gerapporteerde kwetsbaarheid wordt veroorzaakt
Onze reactie
Het Synology Security Team zal binnen 7 dagen reageren op uw rapport en regelmatig de status bijwerken en de kwetsbaarheid zo snel mogelijk verhelpen, afhankelijk van de ernst van de dreiging.Als uw kwetsbaarheidsrapport in aanmerking komt voor een geldelijke beloning, wordt uw naam vermeld op de pagina Synology Product Security Advisory op onze officiële website als blijk van onze waardering.Dit proces zal minimaal 90 dagen duren. Uw beloning wordt overgemaakt bij voltooiing van het proces.
Opmerkingen:Synology behoudt zich het recht voor om dit programma, inclusief de beleidsregels, op elk moment zonder voorafgaande kennisgeving te wijzigen of te annuleren.
Besturingssystemen
Beloning

Gekwalificeerde rapporten komen in aanmerking voor een beloning van maximaal US$30,000.*

Producten binnen de scope

Alleen rapporten over officieel uitgebrachte versies worden geaccepteerd.

DiskStation Manager (DSM)

  • DSM 7 (laatste versie)

Synology Router Manager (SRM)

  • SRM 1.3 (laatste versie)

Synology Camera firmware

  • Firmware 1.1 (laatste versie)

Synology BeeStation

  • BeeStation OS 1.0 (laatste versie)
Regelgeving en beperkingen

Dit programma is strikt beperkt tot beveiligingskwetsbaarheden gevonden in Synology-producten en -diensten. Acties die mogelijk schade kunnen toebrengen aan of nadelig kunnen zijn voor Synology-servers of -gegevens zijn strikt verboden. Het testen van kwetsbaarheden mag niet in strijd zijn met lokale of Taiwanese wetten.

Kwetsbaarheidsrapporten worden niet geaccepteerd onder het programma als ze beschrijven of betrekken:

  1. DoS (Denial of Service) aanvallen op servers van Synology of gebruikers
  2. Kwetsbaarheidstests die schadelijk zijn voor servers of gegevens van Synology of gebruikers
  3. Fysieke aanvallen of sociale manipulatie
  4. Openbaarmaking van buginformatie voor goedkeuring door Synology
  5. Niet-kritieke kwetsbaarheden in verouderde diensten of producten
  6. Kwetsbaarheden die alleen verouderde webbrowsers beïnvloeden
  7. De meeste soorten brute-force aanvallen
  8. Gereflecteerde XSS-aanvallen of Zelf-XSS-aanvallen
  9. Kwetsbaarheden die phishing, het creëren van nepwebsites of fraude betreffen
  10. Rapporten van kwetsbaarheidsscans die de effecten van de kwetsbaarheid niet beschrijven
  11. Aanwijzingen dat standaardpoorten kwetsbaar zijn, maar zonder een PoC te leveren
  12. Theoretische kwetsbaarheden zonder concrete Proof of Concept (PoC)
  13. Open redirects worden doorgaans als informatief beschouwd en komen niet in aanmerking voor beloningen tenzij ze bijdragen aan een meer significante kwetsbaarheid
  14. Ontbrekende beveiligingsheaders die niet direct leiden tot exploitatie
  15. Ontbrekende beveiligingsvlaggen in cookies
  16. Gebruikersenumeratie. Rapporten die gebruikersenumeratie beschrijven vallen niet binnen de scope tenzij u kunt aantonen dat we geen snelheidslimieten hebben om onze gebruikers te beschermen.
*Zie de pagina met beloningsdetails op de webpagina van het beveiligingsbugprogramma voor meer details.
**De maximale beloning voor kwetsbaarheden in SRM_LAN is $5.000.
***De maximale beloning voor kwetsbaarheden in camera-firmware is $10.000.
Software en C2-cloudservices
Beloning

Gekwalificeerde rapporten komen in aanmerking voor een beloning van maximaal US$10.000.*

Producten binnen de scope

Alleen rapporten over officieel uitgebrachte versies worden geaccepteerd.

Pakketten

Door Synology ontwikkelde softwarepakketten

Desktopclients

Door Synology ontwikkelde Windows, macOS en Linux applicaties

Mobiele apps

Door Synology ontwikkelde mobiele apps voor Android en iOS

Synology Account

  • *.account.synology.com domeinen
  • *.identity.synology.com domeinen

C2-diensten

*.c2.synology.com domeinen

Regelgeving en beperkingen

Dit programma is strikt beperkt tot beveiligingskwetsbaarheden gevonden in Synology-producten en -diensten. Acties die mogelijk schade of nadelige gevolgen kunnen hebben voor Synology-servers of -gegevens zijn strikt verboden. Kwetsbaarheidstests mogen de lokale of Taiwanese wetten niet schenden.

Kwetsbaarheidsrapporten worden niet geaccepteerd onder het programma als ze beschrijven of betrekken:

  1. DoS (Denial of Service) aanvallen op servers van Synology of gebruikers
  2. Kwetsbaarheidstests die schadelijk zijn voor servers of gegevens van Synology of gebruikers
  3. Fysieke aanvallen of sociale manipulatie
  4. Openbaarmaking van buginformatie voor goedkeuring door Synology
  5. Niet-kritieke kwetsbaarheden in verouderde diensten of producten
  6. Kwetsbaarheden die alleen verouderde webbrowsers beïnvloeden
  7. De meeste soorten brute-force aanvallen
  8. Gereflecteerde XSS-aanvallen of Zelf-XSS-aanvallen
  9. Kwetsbaarheden die phishing, het creëren van nepwebsites of fraude betreffen
  10. Rapporten van kwetsbaarheidsscans die de effecten van de kwetsbaarheid niet beschrijven
  11. Aanwijzingen dat standaardpoorten kwetsbaar zijn, maar zonder een PoC te leveren
  12. Theoretische kwetsbaarheden zonder concrete Proof of Concept (PoC)
  13. Open redirects worden doorgaans als informatief beschouwd en komen niet in aanmerking voor beloningen tenzij ze bijdragen aan een meer significante kwetsbaarheid
  14. Ontbrekende beveiligingsheaders die niet direct leiden tot exploitatie
  15. Ontbrekende beveiligingsvlaggen in cookies
  16. Gebruikersenumeratie. Rapporten die gebruikersenumeratie beschrijven vallen niet binnen de scope tenzij u kunt aantonen dat we geen snelheidslimieten hebben om onze gebruikers te beschermen.
*Zie de pagina met beloningsdetails op de webpagina van het Security Bug Program voor meer details.
Web diensten
Beloning

Gekwalificeerde rapporten komen in aanmerking voor een beloning van maximaal US$5.000.*

Producten binnen de reikwijdte

De volgende domeinen (inclusief subdomeinen) vallen binnen de scope:

*.synology.com

De volgende domeinen (inclusief subdomeinen) vallen buiten de reikwijdte:

openstack-ci-logs.synology.com, router.synology.com

Synology behoudt zich het recht voor om deze lijst op elk moment zonder kennisgeving te wijzigen.

Regelgeving en beperkingen

Dit programma is strikt beperkt tot beveiligingskwetsbaarheden gevonden in Synology-producten en -diensten. Acties die mogelijk schade kunnen toebrengen aan of nadelig kunnen zijn voor Synology-servers of -gegevens zijn strikt verboden. Kwetsbaarheidstests mogen de lokale of Taiwanese wetten niet schenden.

Kwetsbaarheidsrapporten worden niet geaccepteerd binnen het programma als ze beschrijven of betrekken:

  1. DoS (Denial of Service) aanvallen op Synology's of gebruikers' servers
  2. Kwetsbaarheidstests die nadelig zijn voor Synology's of gebruikers' servers of gegevens
  3. Fysieke aanvallen of sociale engineering
  4. Openbaarmaking van buginformatie voor goedkeuring door Synology
  5. Directory traversal op https://*archive.synology.com
  6. Gereflecteerde bestandsdownload
  7. Banner grabbing problemen of softwareversie onthulling
  8. 0-day kwetsbaarheid onthuld binnen 90 dagen
  9. Niet-kritieke kwetsbaarheden in verouderde diensten of producten
  10. Kwetsbaarheden die alleen verouderde webbrowsers beïnvloeden
  11. Meeste soorten brute-force aanvallen
  12. Gereflecteerde XSS-aanvallen of Self XSS-aanvallen
  13. Kwetsbaarheden die betrekking hebben op phishing, het creëren van nepwebsites, of het plegen van fraude
  14. Kwetsbaarheidsscanningsrapporten die de effecten van de kwetsbaarheid niet beschrijven
  15. Aanwijzingen dat standaardpoorten kwetsbaar zijn, maar zonder het verstrekken van een PoC
  16. Theoretische kwetsbaarheden zonder concrete Proof of Concept (PoC)
  17. Open redirects worden doorgaans als informatief beschouwd en komen niet in aanmerking voor beloningen, tenzij ze bijdragen aan een meer significante kwetsbaarheid
  18. Ontbrekende beveiligingsheaders die niet direct leiden tot exploitatie
  19. Ontbrekende beveiligingsvlaggen in cookies
  20. Gebruikersenumeratie. Rapporten die gebruikersenumeratie beschrijven vallen niet binnen de reikwijdte, tenzij u kunt aantonen dat we geen snelheidslimieten hebben om onze gebruikers te beschermen.
*Zie de pagina met beloningsdetails op de webpagina van het Security Bug Program voor meer details.
Beloningsdetails
Deze pagina is ontworpen om onderzoekers te helpen de potentiële maximale beloningen voor specifieke soorten kwetsbaarheden te begrijpen en om de soorten kwetsbaarheden te benadrukken die Synology het meest waardeert. We waarderen uw bijdragen en zijn toegewijd om significant veiligheidsonderzoek eerlijk te belonen.De beloningen in de tabel tonen het maximale mogelijk voor elke categorie, maar niet elk kwalificerend rapport is gegarandeerd om het vermelde bedrag te ontvangen.*
Kritiek
BesturingssystemenSoftware en C2 cloud dienstenWeb diensten
Zero-click pre-auth RCE$30,000$10,000$5,000
Zero-click pre-auth arbitrary file r/w$9,000$4,600$2,400
Belangrijk
BesturingssystemenSoftware en C2 cloud dienstenWeb diensten
1-click pre-auth RCE$8,000$4,000$2,000
Zero-click normal-user-auth RCE$7,500$3,900$1,900
Zero-click normal-user-auth arbitrary file r/w$6,500$3,400$1,700
Zero-click pre-auth RCE (AC:H)$6,500$3,400$1,700
1-click pre-auth RCE (AC:H)$5,000$2,500$1,325
pre-auth SQL injection$3,800$1,950$1,025
1-click normal-user-auth RCE (AC:H)$2,600$1,350$725
pre-auth stored XSS$2,600$1,350$725
Matig
BesturingssystemenSoftware en C2 cloud dienstenWeb diensten
normal-user-auth stored XSS$1,350$733$417
normal-user-auth SQL injection$1,200$607$353
admin-auth vulnerabilities$100$100$100
  1. Vanaf 1 oktober 2024 worden de beloningen voor admin-auth kwetsbaarheden vastgesteld op $100 USD.
  2. Voor Desktop Clients, als de CVSS-vector een van de volgende bevat, wordt de beloning vastgesteld op $100 USD:
    • AV:L
    • AV:A
    • AV:N/AC:H

Opmerkingen:

  • Let op dat hoewel richtlijnen voor beloningen worden gegeven, elk rapport individueel en grondig wordt geëvalueerd. De beoordeling houdt rekening met verschillende factoren, waaronder maar niet beperkt tot de reikwijdte gedetailleerd in de beloningsrubriek. Synology behoudt zich het recht voor om de uiteindelijke interpretatie van de beloningsbedragen te maken.
  • Voor kwesties die als lage prioriteit of suggesties worden geclassificeerd, zullen alleen bevestigingen worden verstrekt.
Veelgestelde vragenHoe moet ik een kwetsbaarheid melden?Verstrek een gedetailleerde PoC (Proof of Concept) en zorg dat de gemelde problemen kunnen worden gereproduceerd. Gebruik deze PGP-sleutelcodering die door Synology wordt aangeboden wanneer u bugrapporten naar ons verzendt en maak de relevante informatie niet bekend aan derden.Wie is verantwoordelijk voor het bepalen of mijn bugrapport in aanmerking komt voor een beloning?Alle bugrapporten worden beoordeeld en geëvalueerd door het Synology Security Team, dat bestaat uit senior beveiligingsanalisten van Synology.Wat zijn de gevolgen als een bug openbaar wordt gemaakt voordat deze is opgelost?We streven ernaar om bugrapporten snel te beantwoorden en binnen een redelijke termijn te herstellen. Laat ons alstublieft van tevoren weten voordat u de buginformatie openbaar maakt. Elke bugonthulling zonder deze procedure te volgen komt niet in aanmerking voor een beloning.Komen kwetsbaarheden gevonden in verouderde software zoals Apache of Nginx in aanmerking voor een beloning?Identificeer de kwetsbaarheden in de software en leg uit waarom u vermoedt dat ze schadelijk zijn voor het gebruik van de software. Rapporten die deze informatie weglaten komen meestal niet in aanmerking voor een beloning.Kan ik verzoeken dat mijn naam niet wordt vermeld op de Beveiligingsadviespagina van Synology?Ja. U kunt verzoeken om niet vermeld te worden op onze Beveiligingsadviespagina. Als u echter in aanmerking komt voor een beloning en deze wilt accepteren, hebben we nog steeds uw contactgegevens nodig om de betaling te verwerken.Komen kwetsbaarheden nog steeds in aanmerking voor een beloning als ze worden gemeld aan kwetsbaarheidsmakelaars?Het privé onthullen van een kwetsbaarheid aan derden voor andere doeleinden dan het oplossen van bugs is in strijd met de geest van ons programma. Daarom komen dergelijke rapporten niet in aanmerking voor een beloning.Wie komt in aanmerking voor een beloning als dezelfde bug door meer dan één persoon wordt gemeld?De beloning wordt toegekend aan de eerste persoon die een kwetsbaarheid ontdekt die ons voorheen onbekend was.
ErkenningWe willen onze hoed afnemen voor beveiligingsonderzoekers en organisaties die ons hebben geholpen.
  • David Oxley
  • Abdelali Chekiel
  • Sahil Shah (https://www.linkedin.com/in/sahilshah3276/)
  • @sunscan@infosec.exchange