Program nagród za odnalezienie błędów w bezpieczeństwie
Wraz z rozwojem i wzrostem częstotliwości oraz stopnia zaawansowania zagrożeń, Synology współpracuje z ekspertami ds. bezpieczeństwa w celu utrzymania i dalszego wzmacniania naszych zabezpieczeń.
Zakres produktuTen program akceptuje tylko raporty o podatnościach związanych z produktami i usługami internetowymi Synology. Raporty o podatnościach, które nie mieszczą się w zakresie programu, zazwyczaj nie kwalifikują się do nagród; jednak raporty o krytycznych podatnościach poza zakresem mogą być akceptowane w zależności od sytuacji.

Systemy operacyjne

Nagrody do

$30 000

Zawiera Synology DiskStation Manager, Synology Router Manager i Synology BeeStation.

Więcej informacji

Oprogramowanie i usługi chmurowe C2

Nagrody do

$10 000

Zawiera pakiety oprogramowania opracowane przez Synology, powiązane aplikacje mobilne i usługi chmurowe C2.

Więcej informacji

Web usługi

Nagrody do

$5 000

Zawiera wszystkie główne usługi internetowe Synology.

Więcej informacji
Szczegóły nagrody
Kryteria kwalifikacji do nagród
Proszę podać wszelkie informacje, które potrzebujemy do odtworzenia zgłoszonych problemów. Wielkość każdej nagrody zależy od powagi zgłoszonej podatności oraz od kategorii produktu, którego dotyczy.Aby kwalifikować się do nagród pieniężnych, raporty muszą spełniać następujące kryteria:
  1. Jesteś pierwszym zgłaszającym tę lukę
  2. Potwierdzono, że zgłoszona luka jest weryfikowalna, replikowalna i stanowi ważny problem bezpieczeństwa
  3. Twój raport jest zgodny z warunkami i przepisami Programu Nagród
Zgłaszanie błędów bezpieczeństwaJeśli uważasz, że znalazłeś podatność, postępuj zgodnie z poniższymi krokami:
Krok 1

Skontaktuj się z nami za pomocą formularza kontaktowego programu Bounty.

Krok 2

Użyj tego klucza PGP do szyfrowania informacji podczas wysyłania raportów o błędach do firmy Synology.

Krok 3

Dołącz szczegółowy dowód koncepcji (PoC) i upewnij się, że zgłoszone problemy można odtworzyć.

Krok 4

Zachowaj zwięzłość opisu. Na przykład krótki link do dowodu konceptu jest bardziej ceniony niż film wyjaśniający konsekwencje problemu SSRF.

Twoje i nasze obowiązkiTwój raportAby skrócić czas przetwarzania, dobry raport o podatności powinien:
  1. Aby skrócić czas weryfikacji, prawidłowy raport o podatności powinien:
  2. Wykazać, w jaki sposób luka w zabezpieczeniach wpływa na produkty lub usługi internetowe firmy Synology, oraz opisać, których wersji i platform dotyczy luka.
  3. Określać potencjalne szkody spowodowane zgłoszoną podatnością
Nasza odpowiedź
Zespół ds. bezpieczeństwa Synology odpowie na zgłoszenie w ciągu 7 dni i będzie regularnie aktualizować status oraz usuwać luki w zabezpieczeniach tak szybko, jak to możliwe, w zależności od stopnia zagrożenia.Jeśli Twój raport o luce w zabezpieczeniach kwalifikuje się do nagrody pieniężnej, Twoje imię i nazwisko zostanie umieszczone na stronie z informacjami dotyczącymi bezpieczeństwa produktów firmy Synology na naszej oficjalnej witrynie internetowej, jako wyraz wdzięczności.Ten proces zajmie co najmniej 90 dni. Twoja nagroda zostanie przekazana po zakończeniu procesu.
Uwagi:Synology zastrzega sobie prawo do zmiany lub anulowania tego programu, w tym jego zasad, w dowolnym momencie bez wcześniejszego powiadomienia.
Systemy operacyjne
Nagroda

Zakwalifikowane raporty uprawniają do nagrody w wysokości do 30 000 USD*.

Produkty wchodzące w zakres oferty

Tylko raporty dotyczące oficjalnie wydanych wersji są akceptowane.

DiskStation Manager (DSM)

  • DSM 7 (najnowsza wersja)

Synology Router Manager (SRM)

  • SRM 1.3 (najnowsza wersja)

Firmware kamery Synology

  • Firmware 1.1 (najnowsza wersja)

Synology BeeStation

  • BeeStation OS 1.0 (najnowsza wersja)
Regulacje i ograniczenia

Ten program jest ściśle ograniczony do luk w zabezpieczeniach znalezionych w produktach i usługach firmy Synology. Działania, które mogłyby potencjalnie uszkodzić lub negatywnie wpłynąć na serwery lub dane Synology, są surowo zabronione. Testowanie luk w zabezpieczeniach nie może naruszać lokalnych ani tajwańskich przepisów prawa.

Raporty o podatnościach nie są akceptowane w ramach programu, jeśli opisują lub obejmują:

  1. Ataki DoS (Denial of Service) na serwery Synology lub ich użytkowników
  2. Testowanie podatności, które szkodzi serwerom lub danym Synology lub ich użytkowników
  3. Wyłudzania informacji o atakach
  4. Ujawnienie informacji o błędach przed zatwierdzeniem przez Synology
  5. Nieistotne podatności w przestarzałych usługach lub produktach
  6. Podatności dotyczące tylko przestarzałych przeglądarek internetowych
  7. Większość typów ataków brutalnej siły
  8. Ataki XSS odzwierciedlone lub ataki XSS samodzielne
  9. Podatności obejmujące phishing, tworzenie fałszywych stron internetowych lub oszustwa
  10. Raporty skanowania podatności, które nie opisują skutków podatności
  11. Wskazania, że domyślne porty są podatne, ale bez dostarczenia PoC
  12. Teoretyczne podatności bez konkretnego dowodu koncepcji (PoC)
  13. Otwarte przekierowania są zwykle uważane za informacyjne i nie kwalifikują się do nagród, chyba że przyczyniają się do bardziej znaczącej podatności na ataki
  14. Brakujące nagłówki zabezpieczeń, które nie prowadzą bezpośrednio do nadużyć
  15. Brakujące flagi zabezpieczeń w plikach cookie
  16. Numeracja użytkowników. Raporty dotyczące liczby użytkowników nie są objęte usługą, chyba że można wykazać, że nie mamy żadnych limitów wydajności w celu ochrony naszych użytkowników..
*Więcej informacji można znaleźć w części Szczegóły nagrody na stronie internetowej Security Bug Program.
**Maksymalna nagroda za zgłoszone luki w SRM_LAN wynosi $5,000.
***Maksymalna nagroda za zgłoszone luki w oprogramowaniu układowym kamery wynosi $10,000.
Oprogramowanie i usługi chmurowe C2
Nagroda

Zakwalifikowane raporty uprawniają do nagrody w wysokości do 10 000 USD*.

Produkty wchodzące w zakres oferty

Akceptowane są tylko raporty dotyczące oficjalnie wydanych wersji.

Pakiety

Pakiety oprogramowania opracowane przez Synology

Klienci stacjonarni

Aplikacje Synology opracowane dla systemów Windows, macOS i Linux

Aplikacje mobilne

Aplikacje mobilne Synology opracowane dla Androida i iOS

Konto Synology

  • *.account.synology.com domeny
  • *.identity.synology.com domeny

Usługi C2

*.c2.synology.com domeny

Regulacje i ograniczenia

Ten program jest ściśle ograniczony do luk w zabezpieczeniach znalezionych w produktach i usługach firmy Synology. Działania, które mogłyby potencjalnie uszkodzić lub negatywnie wpłynąć na serwery lub dane Synology, są surowo zabronione. Testowanie luk w zabezpieczeniach nie może naruszać lokalnych ani tajwańskich przepisów prawa.

Raporty o podatnościach nie są akceptowane w ramach programu, jeśli opisują lub obejmują:

  1. Ataki DoS (Denial of Service) na serwery Synology lub użytkowników
  2. Testowanie podatności, które szkodzi serwerom lub danym Synology lub użytkowników
  3. Ataki fizyczne lub inżynieria społeczna
  4. Ujawnienie informacji o błędach przed zatwierdzeniem przez Synology
  5. Nieistotne podatności w przestarzałych usługach lub produktach
  6. Podatności dotyczące tylko przestarzałych przeglądarek internetowych
  7. Większość typów ataków brutalnej siły
  8. Ataki XSS odzwierciedlone lub ataki XSS samodzielne
  9. Podatności obejmujące phishing, tworzenie fałszywych stron internetowych lub oszustwa
  10. Raporty skanowania podatności, które nie opisują skutków podatności
  11. Wskazania, że domyślne porty są podatne, ale bez dostarczenia PoC
  12. Teoretyczne podatności bez konkretnego dowodu koncepcji (PoC)
  13. Samotne przekierowania otwarte są zazwyczaj uznawane za informacyjne i nie kwalifikują się do nagród, chyba że przyczyniają się do poważniejszej podatności
  14. Brakujące nagłówki bezpieczeństwa, które nie prowadzą bezpośrednio do wykorzystania
  15. Brakujące flagi bezpieczeństwa w ciasteczkach
  16. Wyliczanie użytkowników. Raporty opisujące wyliczanie użytkowników nie są w zakresie, chyba że możesz wykazać, że nie mamy żadnych limitów szybkości, aby chronić naszych użytkowników.
*Zobacz stronę Szczegóły przyznania nagrody na stronie internetowej Programu Bezpieczeństwa, aby uzyskać więcej informacji.
Web usługi
Nagroda

Zakwalifikowane raporty uprawniają do nagrody w wysokości do 5 000 USD*.

Produkty wchodzące w zakres oferty

Zakres oferty obejmuje następujące domeny (w tym subdomeny):

*.synology.com

Zakres oferty nie obejmuje następujących domen (w tym subdomen):

openstack-ci-logs.synology.com, router.synology.com

Synology zastrzega sobie prawo do modyfikacji tej listy w dowolnym momencie bez powiadomienia.

Regulacje i ograniczenia

Ten program jest ściśle ograniczony do luk w zabezpieczeniach znalezionych w produktach i usługach firmy Synology. Działania, które mogłyby potencjalnie uszkodzić lub negatywnie wpłynąć na serwery lub dane Synology, są surowo zabronione. Testowanie luk w zabezpieczeniach nie może naruszać lokalnych ani tajwańskich przepisów prawa.

Raporty o podatnościach nie są akceptowane w ramach programu, jeśli opisują lub obejmują:

  1. Ataki DoS (Denial of Service) na serwery Synology lub użytkowników
  2. Testowanie podatności, które jest szkodliwe dla serwerów lub danych Synology lub użytkowników
  3. Ataki fizyczne lub inżynieria społeczna
  4. Ujawnienie informacji o błędach przed zatwierdzeniem przez Synology
  5. Przejście przez katalog na https://*archive.synology.com
  6. Odbite pobieranie plików
  7. Problemy z pozyskiwaniem banerów lub ujawnianie wersji oprogramowania
  8. Podatność 0-day ujawniona w ciągu 90 dni
  9. Nieistotne podatności w przestarzałych usługach lub produktach
  10. Podatności dotyczące tylko przestarzałych przeglądarek internetowych
  11. Większość typów ataków siłowych
  12. Odbite ataki XSS lub ataki XSS na własnym użytkowniku
  13. Podatności obejmujące phishing, tworzenie fałszywych stron internetowych lub oszustwa
  14. Raporty skanowania podatności, które nie szczegółowo opisują efektów podatności
  15. Wskazania, że domyślne porty są podatne, ale bez dostarczenia PoC
  16. Teoretyczne podatności bez konkretnego dowodu konceptu (PoC)
  17. Otwarte przekierowania zazwyczaj uważane są za informacyjne i nie kwalifikują się do nagród, chyba że przyczyniają się do poważniejszej podatności
  18. Brakujące nagłówki bezpieczeństwa, które nie prowadzą bezpośrednio do wykorzystania
  19. Brakujące flagi bezpieczeństwa w ciasteczkach
  20. Wyliczanie użytkowników. Raporty opisujące wyliczanie użytkowników nie są w zakresie, chyba że możesz wykazać, że nie mamy żadnych limitów szybkości, aby chronić naszych użytkowników.
*Zobacz stronę Szczegóły przyznania nagrody na stronie internetowej Programu Bezpieczeństwa, aby uzyskać więcej informacji.
Szczegóły nagrody
Ta strona została zaprojektowana, aby pomóc specjalistom w zrozumieniu potencjalnych maksymalnych nagród za określone typy luk w zabezpieczeniach oraz aby podkreślić typy luk, które Synology ceni najbardziej. Cenimy Twój wkład i staramy się sprawiedliwie wynagradzać istotne prace badawcze dotyczące bezpieczeństwa.Nagrody w tabeli pokazują maksymalną możliwą kwotę dla każdej kategorii, ale nie każde kwalifikujące się zgłoszenie gwarantuje otrzymanie wymienionej kwoty*.
Krytyczne
Systemy operacyjneOprogramowanie i usługi chmurowe C2Web usługi
Zero-click pre-auth RCE$30,000$10,000$5,000
Zero-click pre-auth arbitrary file r/w$9,000$4,600$2,400
Ważne
Systemy operacyjneOprogramowanie i usługi chmurowe C2Web usługi
1-click pre-auth RCE$8,000$4,000$2,000
Zero-click normal-user-auth RCE$7,500$3,900$1,900
Zero-click normal-user-auth arbitrary file r/w$6,500$3,400$1,700
Zero-click pre-auth RCE (AC:H)$6,500$3,400$1,700
1-click pre-auth RCE (AC:H)$5,000$2,500$1,325
pre-auth SQL injection$3,800$1,950$1,025
1-click normal-user-auth RCE (AC:H)$2,600$1,350$725
pre-auth stored XSS$2,600$1,350$725
Umiarkowane
Systemy operacyjneOprogramowanie i usługi chmurowe C2Web usługi
normal-user-auth stored XSS$1,350$733$417
normal-user-auth SQL injection$1,200$607$353
admin-auth vulnerabilities$100$100$100
1. Od 7 października 2024 r. nagrody za luki w zabezpieczeniach administracyjnych będą wynosić 100 USD.

Uwagi:

  • Proszę zauważyć, że choć wytyczne dotyczące nagród są dostarczane, każdy raport jest traktowany indywidualnie i dokładnie oceniany. Ocena uwzględnia różne czynniki, w tym między innymi zakres szczegółowo opisany w rubryce nagród. Synology zastrzega sobie prawo do ostatecznej interpretacji kwot nagród.
  • W przypadku kwestii sklasyfikowanych jako mało istotne lub jako sugestie, dostarczone zostaną jedynie podziękowania.
Często zadawane pytaniaJak zgłosić lukę w zabezpieczeniach?Prosimy o dostarczenie szczegółowego PoC (Proof of Concept) i upewnienie się, że zgłoszone problemy można powielać. Podczas wysyłania do nas raportów o błędach należy korzystać z szyfrowania kluczem PGP oferowanym przez Synology i nie ujawniać istotnych informacji osobom trzecim.Kto jest odpowiedzialny za ustalenie, czy moje zgłoszenie jest kwalifikowalne do nagrody?Wszystkie raporty o błędach są sprawdzane i oceniane przez Zespół Bezpieczeństwa Synology, który składa się ze specjalistów ds. bezpieczeństwa Synology.Jakie są konsekwencje publicznego ujawnienia problemu przed jego naprawieniem?Dokładamy starań, aby szybko odpowiadać na raporty o błędach i naprawiać je w rozsądnym czasie. Prosimy o powiadomienie nas z wyprzedzeniem przed publicznym ujawnieniem informacji o błędzie. Jakiekolwiek ujawnienie błędu bez przestrzegania tej zasady nie będzie kwalifikować się do nagrody.Czy luki znalezione w przestarzałym oprogramowaniu, takim jak Apache lub Nginx, kwalifikują się do nagrody?Zidentyfikuj luki w oprogramowaniu i wyjaśnij, dlaczego podejrzewasz, że są one niekorzystne dla korzystania z oprogramowania. Zgłoszenia pomijające tego typu informacje zazwyczaj nie kwalifikują się do nagrody.Czy mogę poprosić o niewymienianie mojego imienia i nazwiska na stronie porad dotyczących bezpieczeństwa firmy Synology?Tak, możesz poprosić o nieumieszczanie Cię na naszej stronie z poradami dotyczącymi bezpieczeństwa. Jeśli jednak kwalifikujesz się do nagrody i chcesz ją przyjąć, nadal będziemy potrzebować Twoich danych kontaktowych, aby przetworzyć płatność.Czy luki w zabezpieczeniach nadal kwalifikują się do nagrody, jeśli zostaną zgłoszone brokerom ds. luk w zabezpieczeniach?Prywatne ujawnianie błędów stronom trzecim w celach innych niż ich naprawa jest niezgodne z naszym regulaminem. W związku z tym takie zgłoszenia nie będą kwalifikowane do nagrody.Kto kwalifikuje się do nagrody, jeśli ten sam błąd zostanie zgłoszony przez więcej niż jedną osobę?Nagroda przyznawana jest pierwszej osobie, która odkryje nieznaną wcześniej usterkę.
PodziękowaniaChcemy podziękować badaczom i organizacjom, które pomogły nam w kwestiach bezpieczeństwa.
  • 2024
  • 2023
  • 2022
  • 2021
  • 2020
  • 2019
  • 2018
  • 2017
  • Khoadha from VCSLab of Viettel Cyber Security ( https://viettelcybersecurity.com/)
  • Tim Coen (https://security-consulting.icu/)
  • Mykola Grymalyuk from RIPEDA Consulting
  • Zhao Runzi (赵润梓)
  • Andrea Maugeri (https://www.linkedin.com/in/andreamaugeri)
  • Offensive Security Research @ Ronin (https://ronin.ae/)
  • Nathan (Yama) https://DontClickThis.run
  • M Tayyab Iqbal (www.alphainferno.com)
  • Only Hack in Cave (tr4ce(Jinho Ju), neko_hat(Dohwan Kim), tw0n3(Han Lee), Hc0wl(GangMin Kim)) (https://github.com/Team-OHiC)
  • Wonbeen Im, STEALIEN (https://stealien.com)
  • 赵润梓、李建申(https://lsr00ter.github.io)
  • Cheripally Sathwik (https://www.instagram.com/ethical_hacker_sathwik)
  • Steven Lin (https://x.com/5teven1in)
  • Qian Chen (@cq674350529) from Codesafe Team of Legendsec at QI-ANXIN Group
  • Mohd Ali (revengerali)
  • Orange Tsai (@orange_8361) from DEVCORE Research Team
  • Bocheng Xiang with FDU(@crispr)
  • HANRYEOL PARK, HYOJIN LEE, HYEOKJONG YUN, HYEONJUN LEE, DOWON KWAK, ZIEN (https://zi-en.io/)
  • Hydrobikz (https://www.linkedin.com/in/bikash-)
  • Can Acar (https://imcan.dev)
  • Yves Bieri of Compass Security (https://www.compass-security.com)
  • DEVCORE Research Team (https://devco.re/)
  • aoxsin (https://twitter.com/aoxsin)
  • Endure Secure (https://endsec.au)
  • Stephen Argent (https://www.runby.coffee/)
  • Qian Chen (@cq674350529) from Codesafe Team of Legendsec at QI-ANXIN Group
  • Jan Kopřiva of Nettles Consulting (https://www.nettles.cz/security/)
  • Andrej Zaujec (https://www.linkedin.com/in/andrej-zaujec-24ba07158/)
  • chumen77 from WeBin Lab of DbappSecurity Co.,Ltd.
  • Bruce Chen (https://twitter.com/bruce30262)
  • aoxsin (https://twitter.com/aoxsin)
  • Armanul Miraz
  • Jaehoon Jang, STEALIEN (https://stealien.com)
  • Jangwoo Choi, HYEONJUN LEE, SoYeon Kim, TaeWan Ha, DoHwan Kim (https://zrr.kr/SWND)
  • Jaehoon Jang, Wonbeen Im, STEALIEN (https://stealien.com)
  • Tomer Goldschmidt and Sharon Brizinov of Claroty Research - Team82
  • Vo Van Thong of GE Security (VNG) (https://www.linkedin.com/in/thongvv3/)
  • Hussain Adnan Hashim (https://www.linkedin.com/in/hussain0x3c)
  • TEAM.ENVY (https://team-envy.gitbook.io/team.envy/about-us)
  • Tim Coen (https://security-consulting.icu)
  • TEAM TGLS (Best of the Best 12th) (https://zrr.kr/SWND)
  • Zhao Runzi (赵润梓)
  • Kevin Wang (https://twitter.com/kevingwn_ )
  • Shubham Kushwaha/ meenakshi Maurya (https://github.com/anabelle666)
  • Safwat Refaat (@Caesar302)
  • Jeffrey Baker (www.Biznet.net)
  • Monisha N (https://www.linkedin.com/in/monisha-nagaraj-321524218/)
  • Ravi (https://twitter.com/itsrvsinghh)
  • remonsec (https://twitter.com/remonsec)
  • TheLabda (https://thelabda.com)
  • Grant Kellie (https://www.linkedin.com/in/grant-kellie-54a23b238/)
  • pulla karthik srivastav (https://www.linkedin.com/in/karthik-srivastav-680359192)
  • Muhammad Tanvir Ahmed https://www.facebook.com/tohidulislam.tanvir.948
  • Eugene Lim, Government Technology Agency of Singapore (https://spaceraccoon.dev)
  • Laurent Sibilla (https://www.linkedin.com/in/lsibilla/)
  • Thomas Werschlein (https://www.linkedin.com/in/thomas-werschlein-2293384b)
  • Sivanesh kumar (https://twitter.com/sivanesh_hacker)
  • Davis Chang. (https://www.linkedin.com/in/hong-tsun-davis-chang/)
  • @aoxsin (https://twitter.com/aoxsin)
  • Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
  • Hasibul Hasan Shawon (@Saiyan0x01)
  • Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
  • Zain Iqbal (https://www.linkedin.com/in/zain-iqbal-971b76254/)
  • Lukas Kupczyk, CrowdStrike Intelligence
  • Tomasz Szczechura (https://www.linkedin.com/in/tomasz-szczechura-5189098b/)
  • Zhao Runzi (赵润梓)
  • Qian Chen (@cq674350529) from Codesafe Team of Legendsec at Qi'anxin Group
  • Patrik Fabian (https://websafe.hu)
  • Eugene Lim, Government Technology Agency of Singapore (https://spaceraccoon.dev)
  • Jeenika Anadani (https://twitter.com/j33n1k4)
  • waterpeitw (https://zeroday.hitcon.org/user/waterpeitw)
  • Milan katwal (https://www.milankatwal.com.np/)
  • N S R de Rooy (https://www.linkedin.com/in/norbert-de-rooy-9b24527/)
  • Christian Tucci (https://www.linkedin.com/in/christian-tucci/)
  • Ravindra Dagale (https://www.linkedin.com/in/ravindra-dagale-5b0913151/)
  • Sanket Anil Ambalkar (https://www.linkedin.com/in/sanket-ambalkar-70211518b/)
  • Chirag Agrawal (https://www.linkedin.com/in/chirag-agrawal-770488144/)
  • Yimi Hu@baidu.com
  • Raman R Mohurle (https://twitter.com/Raman_Mohurle)
  • cmj (http://blog.cmj.tw/)
  • Parth Manek
  • Patrick Williams (https://www.linkedin.com/in/patrick-williams-6992b4104/)
  • Amaranath Moger (https://www.linkedin.com/in/amaranath-moger/)
  • Dennis Herrmann (Code White GmbH)
  • Siddharth Parashar (https://www.linkedin.com/in/siddharth-parashar-b2a21b1b5/)
  • Sahil Soni (https://twitter.com/sahil__soni_18?s=08)
  • Hasibul Hasan Shawon -[Sec Miner's Bangladesh]
  • Devender Rao (https://www.linkedin.com/in/devender-rao)
  • RAJIB BAR (https://www.linkedin.com/in/rajib-bar-rjb-b3683314b)
  • Atharv Shejwal (https://kongsec.io)
  • Xavier DANEST (https://sustainability.decathlon.com/)
  • Aditya Shende (http://kongsec.io)
  • Andreas Rothenbacher (https://error401.de)
  • Rachit Verma @b43kd00r (https://www.linkedin.com/in/b43kd00r/)
  • Suraj SK (https://www.linkedin.com/in/suraj-sk/)
  • Simon Effenberg (https://www.linkedin.com/in/simon-effenberg)
  • Niraj Mahajan (https://www.linkedin.com/in/niraj1mahajan)
  • Ayush Pandey (https://www.linkedin.com/in/ayush-pandey-148797175)
  • Sivanesh kumar D (https://twitter.com/sivanesh_hacker?s=09)
  • Touhid Shaikh (https://securityium.com/)
  • N Krishna Chaitanya (https://www.linkedin.com/in/n-krishna-chaitanya-27926aba/)
  • Ayush Mangal (https://www.linkedin.com/in/ayush-mangal-48a168110)
  • Tameem Khalid (https://www.linkedin.com/in/tameem-khalid-641a4b192/)
  • ddaa of TrapaSecurity (https://twitter.com/0xddaa)
  • Praveen Kumar
  • Oscar Spierings (https://polyform.dev)
  • Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
  • swings of Chaitin Security Research Lab
  • Hasibul Hasan Rifat (https://twitter.com/rifatsec)
  • Lanni
  • Yeshwanth (https://www.linkedin.com/in/yeshwanth-b-4a560b202)
  • Darshan Sunil jogi (https://www.linkedin.com/in/darshan-jogi-9450431b6/)
  • Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
  • Lanni
  • Swapnil Patil (https://www.linkedin.com/in/swapnil-patil-874223195)
  • Vladislav Akimenko (Digital Security) (https://dsec.ru)
  • Muhammad Junaid Abdullah (https://twitter.com/an0n_j)
  • Claudio Bozzato of Cisco Talos (https://talosintelligence.com/vulnerability_reports/)
  • Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
  • Aditya Soni (https://www.linkedin.com/in/adtyasoni)
  • Mansoor Amjad (https://twitter.com/TheOutcastCoder)
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady)
  • James Smith (Bridewell Consulting) (https://bridewellconsulting.com)
  • Kinshuk Kumar (https://www.linkedin.com/in/kinshuk-kumar-4833551a1/)
  • Amit Kumar (https://www.linkedin.com/in/amit-kumar-9853731a4)
  • Mehedi Hasan Remon (twitter.com/remonsec)
  • Joshua Olson (www.linkedin.com/in/joshua-olson-cysa)
  • Vaibhav Rajeshwar Atkale(https://twitter.com/atkale_vaibhav)
  • Mohammed Eldawody (www.fb.com/eldawody0)
  • YoKo Kho (https://twitter.com/YoKoAcc)
  • Satyajit Das (https://www.linkedin.com/in/mrsatyajitdas)
  • Tinu Tomy (https://twitter.com/tinurock007)
  • Aniket Bhutani (https://www.linkedin.com/in/aniket-bhutani-6ba979192/)
  • Anurag Muley (https://www.linkedin.com/in/ianuragmuley/)
  • Howard Ching (https://www.linkedin.com/in/howard-ching-rhul/)
  • Janmejaya Swain (https://www.linkedin.com/in/janmejayaswainofficial)
  • Ahmad Firmansyah (https://twitter.com/AhmdddFsyaaah)
  • Agrah Jain (www.linkedin.com/in/agrahjain)
  • Shivam Kamboj Dattana (https://www.linkedin.com/in/sechunt3r/)
  • Pratik Vinod Yadav (https://twitter.com/PratikY9967)
  • Akshaykumar Kokitkar (https://mobile.twitter.com/cyber_agent2)
  • Shesha Sai C (https://www.linkedin.com/in/shesha-sai-c-18585b125)
  • Yash Agarwal (https://www.linkedin.com/in/yash-agarwal-17464715b)
  • Jan KOPEC(https://twitter.com/blogresponder)
  • Denis Burtanović
  • Hasibul Hasan Shawon -[Sec Miner's Bangladesh]
  • Georg Delp (https://www.linkedin.com/in/georgdelp/)
  • R Atik Islam (https://www.facebook.com/atik.islam.14661)
  • Jose Israel Nadal Vidal (https://twitter.com/perito_inf)
  • Thomas Grünert (https://de.linkedin.com/in/thomas-gr%C3%BCnert-250905168)
  • Matteo Bussani (https://www.linkedin.com/in/matteo-bussani-77b595198/)
  • Bing-Jhong Jheng (https://github.com/st424204/ctf_practice)
  • Swapnil Patil (https://www.linkedin.com/in/swapnil-patil-874223195)
  • Prakash Kumar Parthasarathy (https://www.linkedin.com/in/prakashofficial)
  • Kitab Ahmed (www.ahmed.science)
  • Ahmad Firmansyah (https://twitter.com/AhmdddFsyaaah)
  • Tiziano Di Vincenzo (https://www.linkedin.com/in/tiziano-d-3324a345/)
  • Pratik Vinod Yadav (https://www.linkedin.com/in/pratik-yadav-117463149)
  • Diwakar Kumar (https://www.linkedin.com/in/diwakar-kumar-5b3843114/)
  • Rushi Gayakwad
  • Yash Ahmed Quashim (https://www.facebook.com/abir.beingviper)
  • Swapnil Kothawade (https://twitter.com/Swapnil_Kotha?s=09)
  • Ankit Kumar (https://www.linkedin.com/in/ankit-kumar-42a644166/)
  • Aman Rai (https://www.linkedin.com/in/aman-rai-737a19146)
  • Rushikesh Gaikwad (https://www.linkedin.com/in/rushikesh-gaikwad-407163171)
  • Rupesh Tanaji Kokare (https://www.linkedin.com/in/rupesh-kokare-b63a78145/)
  • Sumit Jain (https://twitter.com/sumit_cfe)
  • Qian Chen of Qihoo 360 Nirvan Team
  • Vishal Vachheta (https://www.linkedin.com/in/vishal-vachheta-a30863122)
  • Zhong Zhaochen
  • Tomasz Grabowski
  • Nightwatch Cybersecurity Research (https://wwws.nightwatchcybersecurity.com)
  • Safwat Refaat (https://twitter.com/Caesar302)
  • Agent22 (https://securelayer7.net/)
  • Hsiao-Yung Chen
  • Rich Mirch (https://blog.mirch.io)
  • Ronak Nahar (https://www.linkedin.com/in/naharronak/)
  • Noman Shaikh (https://twitter.com/nomanAli181)
  • David Deller (https://horizon-nigh.org)
  • Mehedi Hasan (SecMiners BD) (https://www.facebook.com/polapan.1337)
  • Touhid M Shaikh (https://touhidshaikh.com)
  • Abhishek Gaikwad
  • Kitabuddin Ahmed
  • Noman Shaikh (https://twitter.com/nomanAli181)
  • Ajit Sharma (https://www.linkedin.com/in/ajit-sharma-90483655)
  • Agung Saputra Ch Lages (https://twitter.com/lagesgeges)
  • Dan Thomsen (www.thomsen.fo)
  • Erik de Jong (https://eriknl.github.io)
  • Sphinx 1,2 (https://www.facebook.com/Sphinx01.10/)
  • AHMED ELSADAT (https://www.linkedin.com/in/ahmed-elsadat-138755133/)
  • Hasibul Hasan (SecMiner)
  • Mohammed Eldawody (www.fb.com/eldawody0)
  • Chris Schneider
  • Abdullah Fares Muhanna (https://www.facebook.com/AbedullahFares)
  • Nick Blyumberg (https://www.linkedin.com/in/nickblyumberg/)
  • Axel Peters
  • Muhammad Junaid Abdullah (https://twitter.com/an0n_j)
  • Kyle Green
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady)
  • Dankel Ahmed (https://hackerone.com/kitab)
  • ShuangYY
  • HackTrack Security
  • Muhammed Ashmil K K (Kavuthukandiyil)
  • Muhammad Junaid Abdullah (https://twitter.com/snoviboy)
  • Kishan kumar (https://facebook.com/noobieboy007)
  • Lays (http://l4ys.tw)
  • Ashish Kumar (https://www.facebook.com/buggyashish)
  • Lakshay Gupta (http://linkedin.com/in/lakshay-gupta-44102a143)
  • Meng-Huan Yu (https://www.linkedin.com/in/cebrusfs/)
  • Ifrah Iman (http://www.ifrahiman.com)
  • Mohammed Israil (https://www.facebook.com/VillageLad, https://www.linkedin.com/in/mohammed-israil-221656128)
  • Taien Wang (https://www.linkedin.com/in/taienwang/)
  • Emad Shanab (@Alra3ees) (https://twitter.com/Alra3ees?s=09)
  • குகன் ராஜா (Havoc Guhan) (https://fb.com/havocgwen)
  • Yasser Gersy (https://twitter.com/yassergersy)
  • Ismail Tasdelen (https://www.linkedin.com/in/ismailtasdelen)
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady)
  • Oliver Kramer (https://www.linkedin.com/in/oliver-kramer-670206b5)
  • 1N3@CrowdShield (https://crowdshield.com)
  • louys, Xie Wei (解炜), Li Yanlong (李衍龙)
  • Zuo Chaoshun (https://www.linkedin.com/in/chaoshun-zuo-5b9559111/)
  • Ali Razzaq (https://twitter.com/AliRazzaq_)
  • 丁諭祺(Yu-Chi Ding) from DEVCORE CHROOT
  • Alex Weber (www.broot.ca)
  • Alex Bastrakov (https://twitter.com/kazan71p)
  • Mehidia Tania (https://www.beetles.io)
  • freetsubasa (https://twitter.com/freetsubasa)
  • Łukasz Rutkowski (http://www.forit.pl/)
  • Maximilian Tews (www.linkedin.com/in/maximilian-tews)
  • Bryan Galao (https://www.facebook.com/xbryan.galao)
  • Jim Zhou (vip-cloud.cn)
  • Chun Han Hsiao
  • Nightwatch Cybersecurity Research (https://wwws.nightwatchcybersecurity.com)
  • Olivier Bédard
  • Mohamed Eldawody (https://www.facebook.com/Eldawody0)
  • Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
  • 郑吉宏通过 GeekPwn 平台提交
  • Independent Security Evaluators (ISE) labs
  • Independent security researcher, MengHuan Yu, has reported this vulnerability to Beyond Security’s SecuriTeam Secure Disclosure program
  • B.Dhiyaneshwaran (https://www.linkedin.com/in/dhiyaneshwaran-b-27947a131/)
  • Freiwillige Feuerwehr Rohrbach (www.ff-rohrbach.de)
  • Uriya Yavnieli from VDOO (https://vdoo.com)
  • Jung Chan Hyeok
  • Zhong Zhaochen (http://asnine.com)
  • Honc 章哲瑜 (https://www.facebook.com/you.toshoot)
  • Sumit Jain
  • Ketankumar B. Godhani (https://twitter.com/KBGodhani)
  • karthickumar (Ramanathapuram)
  • Alireza Azimzadeh Milani
  • Taien Wang (https://www.facebook.com/taien.tw)
  • Frédéric Crozat (http://blog.crozat.net/)
  • Muhammad Hassaan Khan (https://www.facebook.com/Profile.Hassaan)
  • SSD/Kacper Szurek
  • Alexander Drabek (https://www.2-sec.com/)
  • RAVELA PRAMOD KUMAR (https://mobile.twitter.com/PramodRavela)
  • Kushal Arvind Shah of Fortinet’s FortiGuard Labs
  • Alvin Poon (https://alvinpoon.myportfolio.com/)
  • C.shahidyan, C.Akilan, K.Sai Aswanth
  • BambooFox (https://bamboofox.github.io/)
  • Sajibe Kanti (https://twitter.com/sajibekantibd)
  • Huy Kha (linkedin.com/in/huykha)
  • Pal Patel (https://www.linkedin.com/in/pal434/)
  • Pethuraj M (https://www.linkedin.com/in/pethu/)
  • Ali Ashber (https://www.facebook.com/aliashber7)
  • Muzammil Abbas Kayani (@muzammilabbas2 )
  • Tayyab Qadir (facebook.com/tqMr.EditOr)
  • Babar Khan Akhunzada (www.SecurityWall.co)
  • Mahad Ahmed (https://octadev.com.pk)
  • JD Duh (blog.johndoe.tw, www.linkedin.com/in/JD-Duh)
  • Mubassir Kamdar (http://www.mubassirkamdar.com)
  • Daniel Díez Tainta (https://twitter.com/danilabs)
  • Tushar Rawool (twitter.com/tkrawool)
  • Thrivikram Gujarathi (https://www.linkedin.com/in/thrivikram-gujarathi-certified-ethical-hacker-bug-bounty-hunter-53074796)
  • Ashish Kunwar (twitter: @D0rkerDevil)
  • Steven Hampton (Twitter: @Keritzy, https://stevenh.neocities.org/)
  • Peter Bennink (https://www.linkedin.com/in/peter-bennink/)
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady/)
  • Roopak Voleti (https://m.facebook.com/sairoopak.voleti)