Seems like there is a more localized page available for your location.
Серия Bee от Synology
Продукция от А до Я
Программа Security Bug Bounty
Поскольку угрозы развиваются и растут как по частоте, так и по сложности, компания Synology сотрудничает со специалистами по безопасности, чтобы поддерживать и укреплять нашу защиту.
Продукты, участвующие в программеВ рамках данной программы принимаются только отчеты об уязвимостях, связанных с продуктами и веб-службами Synology. Отчеты об уязвимостях, выходящих за рамки программы, обычно не дают права на вознаграждение; однако в зависимости от ситуации такие отчеты могут приниматься, если уязвимость является критической.

Операционные системы

Бонусы в размере до

$30 000

Включает Synology DiskStation Manager, Synology Router Manager и Synology BeeStation.

Подробнее

Программное обеспечение и облачные службы C2

Бонусы в размере до

$10 000

Включает пакеты программного обеспечения, разработанные компанией Synology, связанные мобильные приложения и облачные службы C2.

Подробнее

Веб-службы

Бонусы в размере до

$5000

Включает все основные веб-службы Synology.

Подробнее
Сведения о бонусах
Критерии предоставления бонусов
Предоставьте информацию, необходимую для воспроизведения обнаруженных проблем. Размер каждого бонуса зависит от серьезности обнаруженной уязвимости и категории продуктов, которая ей подвержена.Чтобы претендовать на денежное вознаграждение, отчеты должны соответствовать следующим критериям:
  1. Вы — первый специалист, сообщивший об этой уязвимости
  2. Подтверждено, что уязвимость, о которой вы сообщили, поддается проверке, воспроизводится и является действительной проблемой безопасности
  3. Ваш отчет соответствует положениям и правилам программы поощрений
Сообщение об ошибках безопасностиЕсли вы считаете, что обнаружили уязвимость, выполните следующие действия:
Шаг 1

Свяжитесь с нами, используя контактную форму программы поощрений.

Шаг 2

При отправке отчетов об ошибках в Synology используйте этот ключ PGP для шифрования информации.

Шаг 3

Включите в отчет детальное подтверждение концепции и убедитесь, что обнаруженные ошибки можно воспроизвести.

Шаг 4

Описание должно быть кратким и содержательным. Например, короткая ссылка для подтверждения концепции ценится выше, чем видео, объясняющее последствия проблемы SSRF.

Ваши и наши обязанностиВаш отчетДля сокращения времени обработки хороший отчет об уязвимости должен соответствовать следующим критериям:
  1. Содержать четкое пошаговое описание процедуры воспроизведения этой уязвимости на английском языке
  2. Демонстрировать, как уязвимость влияет на продукты или веб-службы Synology, а также содержать описание уязвимых версий и платформ
  3. Указывать ущерб, который может причинить обнаруженная уязвимость
Наш ответ
Команда по обеспечению безопасности Synology ответит на ваш отчет в течение 7 дней, будет регулярно обновлять статус и устранит уязвимость в максимально короткие сроки, в зависимости от серьезности угрозы.Если ваш отчет об уязвимости соответствует критериям получения денежного вознаграждения, в знак нашей признательности ваше имя будет указано на странице инструкций по безопасности продуктов Synology на нашем официальном веб-сайте.Этот процесс займет не менее 90 дней. Вознаграждение будет переведено вам после завершения процесса.
Примечания.Компания Synology оставляет за собой право в любое время и без предварительного уведомления изменить или отменить данную программу, включая ее политики.
Операционные системы
Вознаграждение

За квалифицированные отчеты будут предоставлены бонусы в размере до $30 000*.

Продукты, участвующие в программе

Принимаются только отчеты об официально выпущенных версиях.

DiskStation Manager (DSM)

  • DSM 7 (последняя версия)

Synology Router Manager (SRM)

  • SRM 1.3 (последняя версия)

Микропрограмма Synology Camera

  • Микропрограмма 1.1 (последняя версия)

Synology BeeStation

  • ОС BeeStation 1.0 (последняя версия)
Нормативные требования и ограничения

Данная программа применима только в случаях наличия уязвимостей системы безопасности, найденных в продуктах и службах Synology. Действия, которые могут привести к повреждению серверов или данных Synology или оказать на них неблагоприятное воздействие, строго запрещены. Тестирование на уязвимости не должно нарушать местное или тайваньское законодательство.

В рамках данной программы не принимаются отчеты об уязвимостях, если в них описывается или указывается следующее:

  1. DoS-атаки («отказ в обслуживании») на серверы Synology или серверы пользователей
  2. Тестирование на уязвимости, которое оказывает неблагоприятное воздействие на серверы или данные Synology пользователей
  3. Физические атаки или социальная инженерия
  4. Раскрытие информации об ошибках до получения разрешения от компании Synology
  5. Некритические уязвимости в устаревших службах или продуктах
  6. Уязвимости, затрагивающие только устаревшие веб-браузеры
  7. Большинство типов атак методом перебора пароля
  8. Отраженный или пассивный межсайтовый скриптинг
  9. Уязвимости, связанные с фишингом, созданием поддельных веб-сайтов или мошенничеством
  10. Предоставление отчетов по сканированию уязвимостей, но не сведений о последствиях уязвимостей
  11. Указание на то, что порты по умолчанию уязвимы, без подтверждения концепции
  12. Теоретическое указание уязвимостей без конкретного подтверждения концепции
  13. Открытые перенаправления сами по себе обычно считаются просто информацией и не дают права на вознаграждение, если только они не способствуют появлению более серьезной уязвимости
  14. Отсутствующие заголовки безопасности, которые не приводят к прямому использованию уязвимости
  15. Отсутствие флагов безопасности в файлах cookie
  16. Перечисление пользователей. Отчеты, описывающие перечисление пользователей, не дают права на вознаграждение, если только вы не можете продемонстрировать отсутствие ограничений скорости для защиты наших пользователей.
* Дополнительные сведения можно найти на странице «Сведения о бонусах» веб-страницы программы по поиску уязвимостей Security Bug Bounty.
** Максимальное вознаграждение за уязвимости в SRM_LAN составляет 5000 долларов США.
*** Максимальное вознаграждение за уязвимости в микропрограмме камеры составляет 10 000 долларов США.
Программное обеспечение и облачные службы C2
Вознаграждение

За квалифицированные отчеты будут предоставлены бонусы в размере до $10 000*.

Продукты, участвующие в программе

Принимаются только отчеты об официально выпущенных версиях.

Пакеты

Пакеты программного обеспечения, разработанные компанией Synology

Клиентские приложения для настольных ПК

Приложения для Windows, macOS и Linux, разработанные компанией Synology

Мобильные приложения

Мобильные приложения для Android и iOS, разработанные компанией Synology

Учетная запись Synology

  • Домены *.account.synology.com
  • Домены *.identity.synology.com

Службы C2

Домены *.c2.synology.com

Нормативные требования и ограничения

Данная программа применима только в случаях наличия уязвимостей системы безопасности, найденных в продуктах и службах Synology. Действия, которые могут привести к повреждению серверов или данных Synology или оказать на них неблагоприятное воздействие, строго запрещены. Тестирование на уязвимости не должно нарушать местное или тайваньское законодательство.

В рамках данной программы не принимаются отчеты об уязвимостях, если в них описывается или указывается следующее:

  1. DoS-атаки («отказ в обслуживании») на серверы Synology или серверы пользователей
  2. Тестирование на уязвимости, которое оказывает неблагоприятное воздействие на серверы или данные Synology пользователей
  3. Физические атаки или социальная инженерия
  4. Раскрытие информации об ошибках до получения разрешения от компании Synology
  5. Некритические уязвимости в устаревших службах или продуктах
  6. Уязвимости, затрагивающие только устаревшие веб-браузеры
  7. Большинство типов атак методом перебора пароля
  8. Отраженный или пассивный межсайтовый скриптинг
  9. Уязвимости, связанные с фишингом, созданием поддельных веб-сайтов или мошенничеством
  10. Предоставление отчетов по сканированию уязвимостей, но не сведений о последствиях уязвимостей
  11. Указание на то, что порты по умолчанию уязвимы, без подтверждения концепции
  12. Теоретическое указание уязвимостей без конкретного подтверждения концепции
  13. Открытые перенаправления сами по себе обычно считаются просто информацией и не дают права на вознаграждение, если только они не способствуют появлению более серьезной уязвимости
  14. Отсутствующие заголовки безопасности, которые не приводят к прямому использованию уязвимости
  15. Отсутствие флагов безопасности в файлах cookie
  16. Перечисление пользователей. Отчеты, описывающие перечисление пользователей, не дают права на вознаграждение, если только вы не можете продемонстрировать отсутствие ограничений скорости для защиты наших пользователей.
* Дополнительные сведения можно найти на странице «Сведения о бонусах» веб-страницы программы по поиску уязвимостей Security Bug Bounty.
Веб-службы
Вознаграждение

За квалифицированные отчеты будут предоставлены бонусы в размере до $5000*.

Продукты, участвующие в программе

В программе участвуют следующие домены (включая поддомены):

*.synology.com

В программе не участвуют следующие домены (включая поддомены):

openstack-ci-logs.synology.com, router.synology.com

Компания Synology оставляет за собой право вносить изменения в этот список в любое время без предварительного уведомления.

Нормативные требования и ограничения

Данная программа применима только в случаях наличия уязвимостей системы безопасности, найденных в продуктах и службах Synology. Действия, которые могут привести к повреждению серверов или данных Synology или оказать на них неблагоприятное воздействие, строго запрещены. Тестирование на уязвимости не должно нарушать местное или тайваньское законодательство.

В рамках данной программы не принимаются отчеты об уязвимостях, если в них описывается или указывается следующее:

  1. DoS-атаки («отказ в обслуживании») на серверы Synology или серверы пользователей
  2. Тестирование на уязвимости, которое оказывает неблагоприятное воздействие на серверы или данные Synology пользователей
  3. Физические атаки или социальная инженерия
  4. Раскрытие информации об ошибках до получения разрешения от компании Synology
  5. Обход каталогов в домене https://*archive.synology.com
  6. «Отраженное» скачивание файлов
  7. Проблемы, связанные с захватом баннеров или раскрытием версии программного обеспечения
  8. Уязвимости нулевого дня, обнаруженные в пределах 90 дней
  9. Некритические уязвимости в устаревших службах или продуктах
  10. Уязвимости, затрагивающие только устаревшие веб-браузеры
  11. Большинство типов атак методом перебора пароля
  12. Отраженный или пассивный межсайтовый скриптинг
  13. Уязвимости, связанные с фишингом, созданием поддельных веб-сайтов или мошенничеством
  14. Предоставление отчетов по сканированию уязвимостей, но не сведений о последствиях уязвимостей
  15. Указание на то, что порты по умолчанию уязвимы, без подтверждения концепции
  16. Теоретическое указание уязвимостей без конкретного подтверждения концепции
  17. Открытые перенаправления сами по себе обычно считаются просто информацией и не дают права на вознаграждение, если только они не способствуют появлению более серьезной уязвимости
  18. Отсутствующие заголовки безопасности, которые не приводят к прямому использованию уязвимости
  19. Отсутствие флагов безопасности в файлах cookie
  20. Перечисление пользователей. Отчеты, описывающие перечисление пользователей, не дают права на вознаграждение, если только вы не можете продемонстрировать отсутствие ограничений скорости для защиты наших пользователей.
* Дополнительные сведения можно найти на странице «Сведения о бонусах» веб-страницы программы по поиску уязвимостей Security Bug Bounty.
Сведения о бонусах
На этой странице представлена информация о максимальных бонусах, которые могут получить специалисты по безопасности за определенные типы уязвимостей, а также указаны типы уязвимостей, наиболее значимые для компании Synology. Мы ценим ваш вклад и стремимся должным образом вознаграждать за важные исследования в области безопасности.В таблице указаны максимально возможные бонусы для каждой категории, однако не за каждый квалифицированный отчет будет гарантированно предоставлена указанная сумма*.
Критичные
Операционные системыПрограммное обеспечение и облачные службы C2Веб-службы
Zero-click pre-auth RCE$30 000$10 000$5000
Zero-click pre-auth arbitrary file r/w$9000$4600$2400
Важные
Операционные системыПрограммное обеспечение и облачные службы C2Веб-службы
1-click pre-auth RCE$8000$4000$2000
Zero-click normal-user-auth RCE$7500$3900$1900
Zero-click normal-user-auth arbitrary file r/w$6500$3400$1700
Zero-click pre-auth RCE (AC:H)$6500$3400$1700
1-click pre-auth RCE (AC:H)$5000$2500$1325
pre-auth SQL injection$3800$1950$1025
1-click normal-user-auth RCE (AC:H)$2600$1350$725
pre-auth stored XSS$2600$1350$725
Умеренные
Операционные системыПрограммное обеспечение и облачные службы C2Веб-службы
normal-user-auth stored XSS$1350$733$417
normal-user-auth SQL injection$1200$607$353
admin-auth vulnerabilities$100$100$100
  1. С 1 октября 2024 года вознаграждение за уязвимость авторизации администратора будет установлено в размере 100 долларов США.
  2. Для настольных клиентов: если вектор CVSS включает в себя что-либо из следующего, вознаграждение устанавливается в размере 100 долларов США:
    • AV:L
    • AV:A
    • AV:N/AC:H

Примечания.

  • Обратите внимание: хотя примерный план бонусов указан, все отчеты рассматриваются по отдельности и детально оцениваются. При оценке учитываются различные факторы, включая, помимо прочего, продукты, участвующие в программе, которые указаны в разделе бонусов. Компания Synology оставляет за собой право на окончательную интерпретацию сумм бонусов.
  • Для проблем, классифицированных как проблемы с низкой степенью серьезности или предложения, будут предоставлены только подтверждения.
Часто задаваемые вопросыКак сообщить об уязвимости?Предоставьте детальное подтверждение концепции и убедитесь, что обнаруженные ошибки можно воспроизвести. При отправке нам отчетов об ошибках используйте это шифрование ключей PGP, предлагаемое компанией Synology, и не раскрывайте соответствующую информацию третьим лицам.Кто определяет, могу ли я получить бонус за мой отчет?Все отчеты об ошибках просматриваются и оцениваются командой по обеспечению безопасности Synology, в состав которой входят старшие аналитики по вопросам безопасности Synology.Каковы последствия публичного раскрытия информации об ошибке до ее устранения?Мы стараемся оперативно реагировать на отчеты об ошибках и исправлять эти ошибки в разумные сроки. Перед публичным раскрытием информации об ошибке уведомите нас об этом заранее. В случае любого раскрытия информации об ошибке без выполнения этого требования бонус не будет предоставлен.Можно ли получить бонус за уязвимости, обнаруженные в устаревшем программном обеспечении, например Apache или Nginx?Определите уязвимости в программном обеспечении и объясните, почему они могут негативно повлиять на его использование. За отчеты, не содержащие такой информации, вознаграждение обычно не предоставляется.Можно ли попросить не указывать мое имя на странице инструкций по безопасности Synology?Да. Вы можете попросить не указывать ваше имя на нашей странице инструкций по безопасности. Однако, если вы имеете право на получение бонуса и хотите получить его, нам потребуется ваша контактная информация для обработки платежа.Можно ли получить бонус за уязвимости, если информация о них была передана брокерам уязвимостей?Раскрытие информации об уязвимости в частном порядке третьим лицам в целях, отличных от исправления ошибок, противоречит духу нашей программы. Поэтому за такие отчеты бонус не предоставляется.Кто получит бонус, если об одной и той же ошибке сообщат несколько человек?Бонус предоставляется первому лицу, обнаружившему ранее неизвестную нам уязвимость.
БлагодарностьМы хотим отдать должное специалистам по безопасности и организациям, которые нам помогли.
  • 2025
  • 2024
  • 2023
  • 2022
  • 2021
  • 2020
  • 2019
  • 2018
  • 2017
  • David Oxley
  • Abdelali Chekiel