Nhằm nâng cao tính bảo mật cho sản phẩm của mình trong các mối đe dọa đang ngày càng tăng nhanh cả về tần suất và mức độ nghiêm trọng. Synology đang nỗ lực cùng với các nhà nghiên cứu bảo mật để thúc đẩy hơn nữa các nỗ lực hoàn thiện sản phẩm.

Synology đã cho ra mắt chương trình Security Bounty Program nhằm công nhận nỗ lực của các nhà nghiên cứu bảo mật và trao thưởng bằng tiền tới họ, những người đã giúp Synology xác định các lỗ hổng tiềm ẩn và đã làm việc với Synology một cách có trách nhiệm để đảm bảo an toàn cho khách hàng của Synology.

Quy định và phần thưởng

Chương trình này chỉ chấp nhận các báo cáo về lỗ hổng bảo mật liên quan đến các sản phẩm và dịch vụ web của Synology.

DSM: Phiên bản chính thức mới nhất của Synology (Không bao gồm các phiên bản Beta)Các lỗi phát hiện trong phạm vi báo cáo đủ điều kiện sẽ được thưởng từ 50$ đến 10.000$.

• SRM: Phiên bản chính thức mới nhất của Synology (Không bao gồm các phiên bản Beta)
• Packages:

Active Backup for G Suite, Active Backup for Microsoft 365, Active Backup for Server, Active Directory Server, Antivirus Essential, Audio Station, Calendar, CardDAV Server, Chat, Cloud Station Server, Cloud Station Share Sync, Cloud Sync, CMS, Directory Server, DNS Server, Document Viewer, Download Station, File Station, Glacier Backup, Hyper Backup, Hyper Backup Vault, Log Center, Mailplus, Mailplus Server, Media Server, Moments, Note Station, Office, PDF Viewer, Peta Space, Presto File Server, Proxy Server, RADIUS Server, SMI-S Provider, Spread Sheet, SSO Server, Storage Analyzer, Surveillance Station, Synology Application Service, Text Editor, Universal Search, USB Copy, Video Station, VPN Server, Web Station, WebDAV Server

• Synology mobile apps:

DS audio, DS cam, DS cloud, DS file, DS finder, DS get, DS note, DS photo, DS router, DS video, Synology Chat, Synology Drive, Synology MailPlus, Synology Moments, Synology VPN Plus

Quy định và hạn chế

Chương trình này được giới hạn nghiêm ngặt đối với các lỗ hổng bảo mật được tìm thấy trong các sản phẩm và dịch vụ của Synology.

Nghiêm cấm mọi hành động có khả năng làm hỏng hoặc ảnh hưởng xấu đến máy chủ hoặc dữ liệu Synology. Bất kỳ kiểm tra lỗ hổng nào không được vi phạm bất kỳ luật nào. Sau đây được coi là lỗ hổng bảo mật không đủ điều kiện:

1. DoS (Denial of Service) attacks of Synology’s servers or users’ servers
2. Vulnerability testing that is detrimental to Synology’s servers or users’ data
3. Physical attacks or social engineering
4. Disclosure of bug information before our approval
5. Non-critical vulnerability on outdated services or products
6. A vulnerability affecting only outdated browsers
7. Most brute-force attacks
8. Non-stored XSS
9. Fraud issues
10. Offering vulnerability scanning reports but not detailing the vulnerability’s effects
11. Indicating the default ports are vulnerable but without providing PoC.

Dịch vụ web trong phạm vi

Các báo cáo đủ điều kiện sẽ được thưởng từ 50$ đến 2.000$. Các miền trong phạm vi (bao gồm cả miền phụ) như:

• account.synology.com
• myds.synology.com
• update.synology.com
• autoupdate.synology.com
• pkgupdate.synology.com
• pkgautoupdate.synology.com
• utyupdate.synology.com
• utyautoupdate.synology.com
• c2.synology.com
• codecstatistic.synology.com
• mobile.synology.com
• payment.synology.com
• srs.synology.com
• www.synology.com
• help.synology.com
• synoform.synology.com
• license.synology.com
• checkip.synology.com
• checkipv6.synology.com
• checkport.synology.com
• datacollect.synology.com
• demo.synology.com
• chromecast.synology.com
• ftp.synology.com
• router.synology.com
• download.synology.com
• archive.synology.com
• ukdl.synology.com
• usdl.synology.com
• dedl.synology.com

Danh sách miền ngoài phạm vi (bao gồm cả miền phụ) như sau:

• Openstack-ci-logs.synology.com

Synology có quyền sửa đổi danh sách này bất kỳ lúc nào mà không cần thông báo.

Quy định và hạn chế

Chương trình này được giới hạn nghiêm ngặt đối với các lỗ hổng bảo mật trong các sản phẩm và dịch vụ của Synology

Nghiêm cấm mọi hành động có khả năng làm hỏng hoặc ảnh hưởng xấu đến máy chủ hoặc dữ liệu Synology. Bất kỳ kiểm tra lỗ hổng nào không được vi phạm bất kỳ luật nào. Sau đây được coi là lỗ hổng bảo mật không đủ điều kiện:

1. DoS (Denial of Service) attacks of Synology’s servers or users’ servers.
2. Vulnerability testing that is detrimental to Synology’s servers or users’ data.
3. Physical attacks or social engineering
4. Disclosure of bug information before our approval
5. Directory traversal on https://*archive.synology.com
6. Reflected file download
7. Banner grabbing issues or software version disclosure
8. 0-day vulnerability disclosed within 90 days
9. Non-critical vulnerability on outdated services or products
10. A vulnerability affecting only outdated browsers
11. Most brute-force attacks
12. Non-stored XSS
13. Fraudulent issues
14. Offering vulnerability scanning reports but not detailing the vulnerability’s effects
15. Indicating the default ports are vulnerable but without providing PoC

Giải Thưởng

Vui lòng kiểm tra và chắc chắn các thông tin cung cấp đã đầy đủ sẽ giúp Synology có thể vá lỗ hổng mà bạn đã báo cáo. Giá trị của giải thưởng sẽ tùy thuộc vào mức độ nghiêm trọng của lỗ hổng được báo cáo và sản phẩm.

Bạn chỉ đủ điều kiện nhận phần thưởng bằng tiền nếu bạn đã đáp ứng tất cả các điều kiện sau:

1. Bạn là nhà nghiên cứu đầu tiên gửi báo cáo về một lỗ hổng cụ thể.
2. Lỗ hổng bạn đã báo cáo được xác nhận là có thể xác minh, có thể tái tạo và được xác định là một vấn đề bảo mật hợp lệ.
3. Bạn đã tuân thủ các điều khoản và quy định của chương trình.

Phần thưởng bằng tiền sẽ được chuyển vào tài khoản ngân hàng của bạn sau khi lỗ hổng đã báo cáo được Synology công bố. Quá trình này sẽ mất ít nhất 90 ngày.

Xin lưu ý rằng một báo cáo lỗ hổng bảo mật phải bao gồm các thông tin sau để giảm thời gian xử lý của Synology:

1. Cung cấp mô tả bằng văn bản rõ ràng về cách tái tạo lỗ hổng bảo mật từng bước bằng tiếng Anh.
2. Trình bày cách thức lỗ hổng bảo mật ảnh hưởng đến các sản phẩm hoặc dịch vụ web của Synology, bao gồm cả các phiên bản và nền tảng của chúng.
3. Nêu thiệt hại tiềm ẩn do lỗ hổng được báo cáo gây ra.

Quá tình kiểm tra lỗi và báo cáo lại

Vui lòng liên hệ tới email bounty@synology.com nếu bạn phát hiện ra lỗi và sử dụng mã hóa khóa PGP này do Synology cung cấp khi gửi báo cáo lỗi.

Nhóm bảo mật Synology sẽ phản hồi báo cáo của bạn trong vòng ba ngày làm việc và sẽ sớm phát hành bản sửa chữa lỗ hổng bảo mật tùy theo mức độ nghiêm trọng của nó. Khi lỗ hổng được báo cáo đã được xác nhận là đủ điều kiện, tín dụng của bạn sẽ được liệt kê trên trang Tư vấn bảo mật của Synology và phần thưởng bằng tiền của bạn sẽ được chuyển vào tài khoản ngân hàng của bạn, quá trình này sẽ mất ít nhất 90 ngày.

Khi báo cáo lỗ hổng bảo mật, vui lòng cung cấp bằng chứng khái niệm (PoC) chi tiết và đảm bảo các vấn đề được báo cáo có thể được tái tạo. Synology khuyến khích bạn cung cấp thông tin cô đọng. Ví dụ: một liên kết PoC ngắn được đánh giá cao hơn một video giải thích hậu quả của sự cố SSRF. Vui lòng lưu ý những điều sau trong quá trình điều tra lỗi và báo cáo:

Synology có quyền thay đổi hoặc hủy bỏ Chương trình này, bao gồm các chính sách của nó, bất kỳ lúc nào, mà không cần thông báo.