Tayvanlı popüler NAS ve diğer şirket içi depolama, akıllı ağ ve video cihazları üreticisi QNAP Systems, bir hata ödül programı başlattı.
Özellikle QNAP’ın NAS cihazları, genellikle güvenlik açıklarından yararlanarak sunulan bilgi çalan kötü amaçlı yazılımlar, bitcoin madenciliği yapan kötü amaçlı yazılımlar ve fidye yazılımları tarafından son birkaç yılda vuruldu.
QNAP bug bounty programı hakkında
“Güvenlik ödül programımız yalnızca QNAP ürün ve hizmetlerindeki güvenlik açıklarını kabul ediyor. Duruma bağlı olarak kritik güvenlik açıklarının kapsam dışı raporları için yapılan istisnalar dışında, kapsam dışı güvenlik açıkları bir ödül için uygun olmayacaktır.
Hata avcıları şunları incelemelidir:
- QNAP’ın işletim sistemleri (QTS, QuTS kahramanı, QuTScloud)
- QNAP tarafından geliştirilen uygulamalar (Yardım masası, Lisans Merkezi, Kötü Amaçlı Yazılım Kaldırıcı, myQNAPcloud Bağlantısı, Ağ ve Sanal Anahtar, Bildirim Merkezi, QTS SSL Sertifikası, QuLog Merkezi, Kaynak Monitörü, Qsync Merkezi, HBS 3 Hibrit Yedek Senkronizasyonu, Qboost, Multimedya Konsolu, Medya Akışı eklentisi, QVPN Hizmeti, Sanallaştırma İstasyonu, Konteyner İstasyonu, QuFirewall, İndirme İstasyonu, Video İstasyonu, Fotoğraf İstasyonu, QuMagie)
- QNAP bulut hizmetleri (www.myqnapcloud.com, organizasyon.qnap.com, amizcloud.qnap.com, lisans.qnap.com, www.qmiix.com, hesap.qnap.com, quwan.qnap.com) – 5.000$’a kadar ödüller
– 20.000$’a kadar ödüller
– 10.000$’a kadar ödüller
Bu tür programlarda genellikle olduğu gibi, rapor net ve iyi yazılmışsa, test kodu, betikler ve ayrıntılı talimatlar dahil edilmişse ve raportör ayrıca önerilen bir düzeltme içeriyorsa ödüller daha yüksektir.
Programa katılanların, QNAP bu konuda bir güvenlik tavsiyesi yayınlayana ve/veya başka bir şekilde yayınlanmasına izin verene kadar raporlarının içeriğini ifşa etmemeleri veya yayınlamamaları beklenir. (Bir şirket hiçbirini yapmaz ve kusuru düzeltmeden süresiz olarak “oturursa”, güvenlik araştırmacılarının ödüllerden vazgeçtiği ve keşfedilen güvenlik açıkları hakkında bilgi yayınladığı bilinmektedir.)
“PGP şifreli e-postayı [email protected] adresine gönderdikten sonra, inceleme ilerlememizi kontrol etmek için kullanılabilecek bir bilet numarası içeren bir otomatik yanıt e-postası alacaksınız. QNAP’ın PSIRT ekibi, gönderilen bilgilerin bütünlüğünü doğrulamak için sizinle iletişime geçecek” diyor.
“Bütünlüğü onayladıktan sonra, PSIRT ekibinden bir güvenlik açığı onayı alacaksınız. Bu, güvenlik açığının CVE Kimliğini ve CVSSv3 Puanını içerecektir. Ödül miktarı önerisi, zayıflık onayından 4 hafta sonra gönderilecektir. Teklifi kabul ederseniz, ödül, yanıt alındıktan sonra 12 hafta içinde iletilecektir.