[ SYNOLOGY ] Mstar đồng hành Synology treo thưởng $5.000 cho ai phát hiện lỗi bảo mật trên Sản phẩm Synology

[vc_row][vc_column][vc_tta_tabs][vc_tta_section title=”Phạm vi sản phẩm/ dịch vụ ” tab_id=”1502165432717-f63ec170-4b13″][vc_column_text]
  • DSM
    • Phiên bản DSM 6.1 mới nhất.
    • Gói dịch vụ: Active Backup for Server, Active Directory Server, Antivirus Essential, Audio Station, Calendar, CardDAV Server, Chat, Cloud Station Server, Cloud Station Share Sync, Cloud Sync, CMS. Directory Server. DNS Server, Document Viewer, Download Station, File Station, Glacier Backup, Hyper Backup / Hyper Backup Vault, Log Center, Mailplus / Mailplus Server, Media Server, Note Station, PDF Viewer, Peta Space, Proxy Server, RADIUS Server, Office / Spread Sheet, SSO Server, Storage Analyzer, Surveillance Station, Universal Search, Synology Application Service, SMI-S Provider, Text Editor, USB Copy, Video Station, VPN Server, WebDAV Server, Web Station
  • SRM
    • Phiên bản SRM 1.1 mới nhất.
    • Gói dịch vụ: VPN Plus
  • Dịch vụ Synology cloud
    • account.synology.com
    • c2.synology.com

Phát hiện lỗi và báo cáo lỗi

Vui lòng liên hệ với Mstar thông qua mail bounty@synology.com hoặc Security@mstarcorp.vn nếu bạn tìm ra bất kì lỗ hỏng nào, và sử dụng key mã hóa PGP được cấp bởi Synology khi gửi báo cáo lỗi về cho chúng tôi. Đội ngũ Mstar & Synology Security sẽ phản hồi lại với bạn trong vòng 3 ngày làm việc, và sẽ sớm công bố vấn đề đã được báo cáo theo đúng mức độ nghiêm trọng của nó. Tài khoản của bạn sẽ được nêu lên trong trang Security Advisory của Mstar và Synology, sau khi bản báo cáo lỗ hỏng được thừa nhận là hợp lệ, và phần thưởng sẽ được chuyển đến tài khoản ngân hàng của bạn trong vòng 60 ngày kể từ ngày bản sửa lỗi được công bố.

Bất cứ việc phát hiện lỗi nào đều phải chấp hành theo pháp luật nước sở tại. Người tham dự chỉ được dùng tài khoản và các thiết bị của chính mình khi đang tiến hành kiểm tra lỗi, không được truy cập vào bất kì tài khoản, thiết bị hoặc dữ liệu không thuộc quyền sở hữa của mình. Tất cả những hành vi có khả năng gây tổn thất cho Synology hoặc người dùng của Synology đều bị nghiêm cấm.

Khi báo cáo lỗi, vui lòng trình bày chi tiết các bước phát sinh lỗi trong bản báo cáo và phải đảm bảo rằng những lỗi đã báo có thể được sao chép lại. Chúng tôi rất khuyến khích bạn đưa ra những thông tin có nội dung chính xác, ngắn gọn. Ví dụ, một đường link ngắn về bản báo cáo ý tưởng sẽ được đánh giá cao hơn một video giải thích về hậu quả của SSRF.
Lưu ý những điều sau trong qua trình kiểm tra và báo cáo lỗi:

Bất kỳ hành vi tiết lộ thông tin lỗi nào làm ảnh hưởng đến chương trình hoặc Synology trước khi chúng tôi duyệt và công bố chính thức lỗi đều bị nghiêm cấm. Thêm vào đó, người tham dự không được tác động  làm ảnh hưởng đến các dịch vụ của Synology hoặc xâm phạm đến các nguyên tắc hoặc pháp luật hiện hành.

Xin lưu ý rằng, chúng tôi chỉ phản hồi lại những báo cáo về lỗi kĩ thuật. Với những lỗi hoặc những thắc mắc không thuộc về vấn đề bảo mật, vui lòng liên hệ với Trung Tâm Hỗ Trợ Synology tại Việt Nam qua email lienhe@mstarcorp.vn.

Lưu ý: Synology có quyền thay đổi hoặc hủy bỏ chương trình tặng thưởng này (bao gồm các chính sách, thời gian) mà không cần thông báo trước.

 

[/vc_column_text][/vc_tta_section][vc_tta_section title=”Điều kiện nhận thưởng” tab_id=”1502165443012-dea6e7c5-b45e”][vc_column_text]

Những lỗi đáp ứng điều kiện nhận thưởng:

  • Server-side Remote Code Execution (RCE)
  • Stored Cross-site Scripting (XSS)
  • Cross-site Request Forgery
  • Server-Side Request Forgery (SSRF)
  • SQL Injection
  • XML External Entity Attacks (XXE)
  • Access Control Issues
  • Exposed Administrative Panels không yêu cầu chứng nhận đăng nhập
  • Directory Traversal Issues
  • Local File Disclosure (LFD)

Những lỗi không đáp ứng được điều kiện nhận thưởng:

Synology có quyền quyết định lỗi được báo cáo có đáp ứng được điều kiện trao thưởng hay không. Trong 1 số trường hợp, lỗi phần mềm không được xem như là lỗi về bảo mật. Trừ những trường hợp ngoại lệ sau:

  • Outdated services or products
  • XSS issues affecting only outdated browsers
  • Most brute force attack issues
  • Security bugs in software related to an acquisition for a period of 90 days following any public announcement
  • Reports stating that a software is out of date/vulnerable but without a proof of concept
  • Self-XSS that cannot be used to exploit other users (this includes having a user paste JavaScript into the browser console)
  • Reports derived from automated web vulnerability scanners (Acunetix, Vega, etc.) that have not been validated
  • Denial of Service Attacks
  • Reflected File Download (RFD)
  • Physical or social engineering attempts
  • Content injection issues
  • Missing autocomplete attributes
  • Missing cookie flags on non-security-sensitive cookies
  • Issues that require physical access to a victim’s computer
  • Missing security headers that do not present an immediate security vulnerability
  • Fraud issues
  • SSL/TLS scan reports (e.g., output from sites such as SSL Labs)
  • Banner grabbing issues (figuring out what web server we use, etc.)
  • Opened ports without providing proof-of-concept demonstrating vulnerability
  • Recently disclosed 0-day vulnerabilities
[/vc_column_text][/vc_tta_section][vc_tta_section title=”Phần thưởng” tab_id=”1502165441273-68a9a061-e752″][vc_column_text]Những báo cáo lỗi đủ điều kiện sẽ được thưởng từ $100-$5,000. Xin lưu ý rằng phải đảm bảo cung cấp đủ thông tin để Mstar có thể lưu lại những lỗi mà bạn đã báo cáo. Ví dụ, ảnh chụp màn hình và video sẽ là những bằng chứng hữu ích cho bạn. Báo cáo lỗi nên được nộp theo qui định của các điều khoản và điều kiện được qui định trong chương trình và không được tiết lộ mà không có sự cho phép của chúng tôi.

Người tham dự sẽ nhận được giải thưởng dựa theo mức độ nghiêm trọng của lỗi được báo cáo; Nghĩa là những giải thưởng cao có thể được trao tặng cho những người tham dự  phát hiện ra các lỗi có mức độ nghiêm trọng. Một bản báo cáo nêu ra nhiều lỗi khác nhau có thể được phần thưởng cao hơn các trường hợp có nhiều báo cáo thực sự liên quan đến nhau, các trường hợp đó thì chỉ được chấp nhận  là một giải thưởng duy nhất.

Người tham dự sẽ được nhận thưởng khi bạn đáp ứng đủ những điều kiện sau:

  1. Là người đầu tiên báo lỗi cho chúng tôi
  2. Synology chấp nhận những lỗi bạn báo cáo là lỗi có thể kiểm chứng được, và xác nhận lỗi bảo mật đó hợp lí.
  3. Tuân theo đúng những điều khoản và điều lệ của chương trình.

Synology sẽ quyết định việc trả tiền thưởng (nếu có), cũng như là những qui định của chương trình, đơn vị tiền tệ hoặc thời gian thanh toán. Những người đáp ứng đủ điều kiện để nhận thưởng sẽ chịu trách nhiệm về các khoản thuế có liên quan, tùy thuộc vào quy định của nước sở tại.[/vc_column_text][/vc_tta_section][vc_tta_section title=”Các câu hỏi” tab_id=”1502165432718-3a75d7eb-e233″][vc_column_text]1/ Làm thế nào để báo cáo lỗi?

Vui lòng cung cấp chi tiết bản trình bày ý tưởng (Proof of Concept)  và đảm bảo rằng những vấn đề được báo cáo có thể được sao chép lại. Sử dụng mã hóa key PGP được cấp bởi Synology khi gửi những báo cáo về lỗi đến chúng tôi và không được tiết lộ những thông tin có liên quan cho bất kì bên thứ 3 nào khác

2/ Ai là người chịu trách nhiệm trong việc quyết định việc báo lỗi của tôi là hợp lệ để nhận thưởng?

Tất cả những báo cáo lỗi đều được đội ngũ Mstar và Synology Security – Các chuyên gia phân tích bảo mật của Synology xem xét và đánh giá.

3/ Nếu một lỗi được công khai trước khi nó được sửa thì hậu quả sẽ là gì?

Chúng tôi luôn cố gắng phản hồi nhanh chóng lại những báo cáo lỗi và khắc phục lỗi trong khoảng thời gian hợp lý. Vui lòng báo cho chúng tôi trước khi bạn công khai lỗi. Những lỗi bị tiết lộ và không tuân theo điều kiện này đều xem như không hợp lệ.

4/ Những lỗi được tìm thấy trong phần mềm đã hết hạn ví dụ như Apache or Nginx có đủ điều kiện để nhận thưởng không?

Vui lòng báo những lỗi trong phần mềm và giải thích thêm rằng tại sao bạn lại nghi ngờ về khả năng gây thiệt hại của chúng đến việc sử dụng phần mềm. Những báo cáo mà thiếu những thông tin này thường là không đủ điều kiện để nhận thưởng.

5/ Liệu tôi có thể yêu cầu không nêu tên tôi trong trang danh sách nhận thưởng hay không?

Tất nhiên bạn có thể yêu cầu điều đó. Tuy nhiên, nếu bạn đủ điều kiện nhận giải và bạn mong muốn nhận nó, vui lòng cung cấp thông tin liên lạc để chúng tôi có thể trả thưởng cho bạn.

6/ Những lỗi được tiết lộ cho bên thứ ba có đủ điều kiện để nhận thưởng?

Việc tự tiết lộ lỗi cho bên thứ ba vì những mục địch khác nằm ngoài mục đích sửa chữa lỗi là trái với tinh thần của chương trình. Những báo cáo như vậy sẽ không đủ điều kiện để nhận thưởng.

7/ Nếu có nhiều người cùng phát hiện ra lỗi thì  ai sẽ là người được nhận thưởng?

Giải thưởng sẽ được trao cho người phát hiện ra lỗi đầu tiên.[/vc_column_text][/vc_tta_section][vc_tta_section title=”Những người được nhận thưởng 2017″ tab_id=”1502165565623-3f74ed62-4588″][vc_column_text]Chúng tôi chân thành cảm ơn những người dùng và các đối tác  đã giúp chúng tôi nâng cao vấn đề an ninh của sản phẩm Synology:

Nếu bạn muốn tên mình có trong trang danh sách nhận thưởng, vui lòng cho Mstar biết khi bạn gửi báo cáo lỗi đến chúng tôi .

2017

  • Honc (章哲瑜) https://www.facebook.com/you.toshoot
  • Sumit Jain
  • Ketankumar B. Godhani https://twitter.com/KBGodhani
  • karthickumar (Ramanathapuram)
  • Alireza Azimzadeh Milani
  • Taien Wang https://www.facebook.com/taien.tw
  • Frédéric Crozat http://blog.crozat.net/
  • Muhammad Hassaan Khan https://www.facebook.com/Profile.Hassaan
  • Kacper Szurek
  • Alexander Drabek https://www.2-sec.com/
  • RAVELA PRAMOD KUMAR https://mobile.twitter.com/PramodRavela
  • Kushal Arvind Shah of Fortinet’s FortiGuard Labs
  • Alvin Poon https://alvinpoon.myportfolio.com/
  • Updating…
[/vc_column_text][/vc_tta_section][/vc_tta_tabs][/vc_column][/vc_row][vc_row][vc_column][/vc_column][/vc_row]

Social Mstar Corp