CHƯƠNG TRÌNH TẶNG THƯỞNG – PHÁT HIỆN LỖI BẢO MẬT

Synology đang khởi động chương trình cải thiện vấn đề an ninh thông tin và bảo mật người dùng. Thông tin, tài liệu của bạn chính là vấn đề được chúng tôi ưu tiên hàng đầu, vì thế Synology đã quyết định tổ chương trình tặng thưởng – Phát Hiện Lỗi Bảo Mật trong 3 tháng cho những ai  tìm ra được những  lỗ hỏng dễ bị tấn công của Synology. Để cám ơn những người dùng đã giúp chúng tôi cải thiện vấn đề an ninh, đội ngũ Synology Security xin phép được  nêu tên họ trong trang Security Advisory page.

Vui lòng đọc hướng dẫn chi tiết chương trình tặng thưởng như sau.

Mục Đích Chương Trình

Phạm vi sản phẩm/ dịch vụ áp dụng trong chương  trình:

• DSM
  • Phiên bản DSM 6.1 mới nhất.
  • Gói dịch vụ: Active Backup for Server, Active Directory Server, Antivirus Essential, Audio Station, Calendar, CardDAV Server, Chat, Cloud Station Server, Cloud Station Share Sync, Cloud Sync, CMS. Directory Server. DNS Server, Document Viewer, Download Station, File Station, Glacier Backup, Hyper Backup / Hyper Backup Vault, Log Center, Mailplus / Mailplus Server, Media Server, Note Station, PDF Viewer, Peta Space, Proxy Server, RADIUS Server, Office / Spread Sheet, SSO Server, Storage Analyzer, Surveillance Station, Universal Search, Synology Application Service, SMI-S Provider, Text Editor, USB Copy, Video Station, VPN Server, WebDAV Server, Web Station
• SRM
  • Phiên bản SRM 1.1 mới nhất.
  • Gói dịch vụ: VPN Plus
• Dịch vụ Synology cloud
  • account.synology.com
  • c2.synology.com

Kiểm tra và báo cáo lỗi

Vui lòng liên hệ với chúng tôi thông qua mail [email protected] hoặc [email protected] nếu bạn tìm ra bất kì lỗ hỏng nào, và sử dụng key mã hóa PGP được cấp bởi Synology khi gửi bài báo cáo lỗi về cho chúng tôi. Đội ngũ Synology Security sẽ phản hồi lại với bạn trong vòng 3 ngày, và sẽ sớm công bố vấn đề đã được sửa theo đúng mức độ nghiêm trọng của nó. Tài khoản của bạn sẽ được nêu lên trong trang Security Advisory, sau khi bản báo cáo lỗ hỏng được thừa nhận là hợp lệ, và phần thưởng sẽ được chuyển đến tài khoản ngân hàng của bạn trong vòng 60 ngày kể từ ngày bản sửa lỗi được công bố.

Bất cứ việc kiểm tra lỗi nào đều phải chấp hành theo pháp luật. Người tham dự chỉ được dùng tài khoản và các thiết bị của chính mình khi đang tiến hành kiểm tra lỗi, không được truy cập vào bất kì tài khoản, thiết bị hoặc dữ liệu không thuộc quyền sở hữa của mình. Tất cả những hành vi có khả năng gây tổn thất cho Synology hoặc người dùng của Synology đều bị nghiêm cấm.

Khi báo cáo lỗi, vui lòng trình bày chi tiết bản báo cáo ý tưởng và phải đảm bảo rằng những lỗi đã báo có thể được sao chép lại. Chúng tôi rất khuyến khích bạn đưa ra những thông tin có nội dung chính xác, ngắn gọn. Ví dụ, một đường link ngắn về bản báo cáo ý tưởng sẽ được đánh giá cao hơn một video giải thích về hậu quả của SSRF. Lưu ý những điều sau trong qua trình kiểm tra và báo cáo lỗi:

Bất kỳ hành vi tiết lộ thông tin lỗi nào làm ảnh hưởng đến chương trình hoặc Synology trước khi chúng tôi duyệt và công bố chính thức lỗi đều bị nghiêm cấm. Thêm vào đó, người tham dự không được tác động  làm ảnh hưởng đến các dịch vụ của Synology hoặc xâm phạm đến các nguyên tắc hoặc pháp luật hiện hành.

Xin lưu ý rằng, chúng tôi chỉ phản hồi lại những báo cáo về lỗi kĩ thuật. Với những lỗi hoặc những thắc mắc không thuộc về vấn đề bảo mật, vui lòng liên hệ với Trung Tâm Hỗ Trợ Synology hoặc email [email protected].

Lưu ý: Synology có quyền thay đổi hoặc hủy bỏ chương trình tặng thưởng này (bao gồm các chính sách, thời gian) mà không cần thông báo trước.

Điều kiện nhận thưởng

Những lỗi đáp ứng được điều kiện nhận thưởng:

• Server-side Remote Code Execution (RCE)
• Stored Cross-site Scripting (XSS)
• Cross-site Request Forgery
• Server-Side Request Forgery (SSRF)
• SQL Injection
• XML External Entity Attacks (XXE)
• Access Control Issues
• Exposed Administrative Panels không yêu cầu chứng nhận đăng nhập
• Directory Traversal Issues
• Local File Disclosure (LFD)

Những lỗi không đáp ứng được điều kiện nhận thưởng:

Synology có quyền quyết định lỗi được báo cáo có đáp ứng được điều kiện trao thưởng hay không. Trong 1 số trường hợp, lỗi phần mềm không được xem như là lỗi về bảo mật. Trừ những trường hợp ngoại lệ sau:

• Sản phẩm hoặc dịch vụ đã hết hạn sử dụng.
• XSS chỉ ảnh hưởng đến các trình duyệt hết hạn sử dụng.
• Hầu hết các tác động chỉnh sửa lên sản phẩm/ phần mềm.
• Sau những thông báo lỗi chính thức, nếu có các lỗi bảo mật phần mềm nào được mua lại sẽ được thực hiện trong vòng 90 ngày.
• Các báo cáo về phần mềm hết hạn hoặc bị lỗi mà không có bản trình bày ý tưởng.
• Self-XSS không thể sử dụng để khai thác những người dùng khác (điều này bao gồm việc có người dùng dán JavaScript vào trình duyệt điều khiển)
• Những báo cáo về việc tự động quét lỗ hỏng của web (như Acunetix, /vega,…) chưa được xác nhận.
• Từ chối những tấn công dịch vụ
• Reflected File Download (RFD)
• Những vấn đề về mặt vật lý hoặc kỹ thuật xã hội

Các báo cáo có nội dung không phù hợp:

• Thiếu các thuộc tính autocomplete
• Bỏ sót flags cookie trên những cookie không có bảo mật
• Những lỗi yêu cầu truy cập vật lý đến máy tính của nạn nhân
• Thiếu tiêu đề bảo mật không thể hiện được lỗi bảo mật ngay lập tức
• Các lỗi gian lận
• Những báo cáo về việc quét SSL/TLS ( xuất ra từ các web như SSL Labs)
• Banner grabbing issues (figuring out what web server we use, etc.: Những lỗi chụp banner (chỉ ra những máy chủ web chúng ta đang dùng…)
• Những cổng được mở mà không cung cấp bản báo cáo ý tưởng lỗi dễ bị tấn công
• Lỗi đã công bố gần đây (0 ngày).

Giải thưởng

Những báo cáo lỗi đáp ứng đủ điều kiện sẽ được thưởng từ $100-$5,000. Xin lưu ý rằng phải đảm bảocung cấp đủ thông tin để chúng tôi có thể lưu lại những lỗi mà bạn đã báo cáo. Ví dụ, ảnh chụp màn hình và video sẽ là những bằng chứng hữu ích cho bạn. Báo cáo lỗi nên được nộp theo qui định của các điều khoản và điều kiện được qui định trong chương trình và không được tiết lộ mà không có sự cho phép của chúng tôi.

Người tham dự sẽ nhận được giải thưởng dựa theo mức độ nghiêm trọng của lỗi được báo cáo; Nghĩa là những giải thưởng cao có thể được trao tặng cho những người tham dự  phát hiện ra các lỗi có mức độ nghiêm trọng. Một bản báo cáo thực sự nêu ra được nhiều lỗi khác nhau có thể được phần thưởng cao hơn các trường hợp có nhiều báo cáo thực sự liên quan đến nhau, các trường hợp đó thì chỉ được chấp nhận  là một giải thưởng duy nhất.

Người tham dự sẽ được nhận thưởng khi bạn đáp ứng đủ những điều kiện sau:

1. Là người đầu tiên báo lỗi cho chúng tôi
2. Synology chấp nhận những lỗi bạn báo cáo là lỗi có thể kiểm chứng được, và xác nhận lỗi bảo mật đó có hợp lí.
3. Tuân theo đúng những điều khoản và điều lệ của chương trình.

Synology sẽ quyết định việc trả tiền thưởng (nếu có), cũng như là những qui định của chương trình, đơn vị tiền tệ hoặc thời gian thanh toán. Những người đáp ứng đủ điều kiện để nhận thưởng sẽ chịu trách nhiệm về các khoản thuế có liên quan, tùy thuộc vào quy định của nước sở tại.

Những câu hỏi thường gặp

1/ Làm thế nào để báo cáo lỗi?

Vui lòng cung cấp chi tiết bản trình bày ý tưởng (Proof of Concept)  và đảm bảo rằng những vấn đề được báo cáo có thể được sao chép lại. Sử dụng mã hóa key PGP được cấp bởi Synology khi gửi những báo cáo về lỗi đến chúng tôi và không được tiết lộ những thông tin có liên quan cho bất kì bên thứ 3 nào khác

 

2/ Ai là người chịu trách nhiệm trong việc quyết định việc báo lỗi của tôi là hợp lệ để nhận thưởng?

Tất cả những báo cáo lỗi đều được đội ngũ Synology Security – Các chuyên gia phân tích bảo mật của Synology xem xét và đánh giá.

 

3/ Nếu một lỗi được công khai trước khi nó được sửa thì hậu quả sẽ là gì?

Chúng tôi luôn cố gắng phản hồi nhanh chóng lại những báo cáo lỗi và khắc phục lỗi trong khoảng thời gian hợp lý. Vui lòng báo cho chúng tôi trước khi bạn công khai lỗi. Những lỗi bị tiết lộ và không tuân theo điều kiện này đều xem như không hợp lệ.

 

4/ Những lỗi được tìm thấy trong phần mềm đã hết hạn ví dụ như Apache or Nginx có đủ điều kiện để nhận thưởng không?

Vui lòng báo những lỗi trong phần mềm và giải thích thêm rằng tại sao bạn lại nghi ngờ về khả năng gây thiệt hại của chúng đến việc sử dụng phần mềm. Những báo cáo mà thiếu những thông tin này thường là không đủ điều kiện để nhận thưởng.

 

5/ Liệu tôi có thể yêu cầu không nêu tên tôi trong trang danh sách cố vấn an ninh?

Tất nhiên bạn có thể yêu cầu điều đó. Tuy nhiên, nếu bạn đủ điều kiện nhận giải và bạn mong muốn nhận nó, vui lòng cung cấp thông tin liên lạc để chúng tôi có thể trả thưởng cho bạn.

 

6/ Những lỗi được tiết lộ cho bên thứ ba có đủ điều kiện để nhận thưởng?

Việc tự tiết lộ lỗi cho bên thứ ba vì những mục địch khác nằm ngoài mục đích sửa chữa lỗi là trái với tinh thần của chương trình. Những báo cáo như vậy sẽ không đủ điều kiện để nhận thưởng.

 

7/ Nếu có nhiều người cùng phát hiện ra lỗi thì  ai sẽ là người được nhận thưởng?

Giải thưởng sẽ được trao cho người phát hiện ra lỗi đầu tiên.

 

Danh sách người nhận thưởng 2017

Chúng tôi chân thành cảm ơn những người dùng và các đối tác  đã giúp chúng tôi nâng cao vấn đề an ninh của sản phẩm Synology:

Nếu bạn muốn tên mình có trong trang danh sách công nhận, vui lòng cho chúng tôi biết khi bạn gửi báo cáo lỗi đến chúng tôi .

2017

• Honc (章哲瑜) https://www.facebook.com/you.toshoot
• Sumit Jain
• Ketankumar B. Godhani https://twitter.com/KBGodhani
• karthickumar (Ramanathapuram)
• Alireza Azimzadeh Milani
• Taien Wang https://www.facebook.com/taien.tw
• Frédéric Crozat http://blog.crozat.net/
• Muhammad Hassaan Khan https://www.facebook.com/Profile.Hassaan
• Kacper Szurek
• Alexander Drabek https://www.2-sec.com/
• RAVELA PRAMOD KUMAR https://mobile.twitter.com/PramodRavela
• Kushal Arvind Shah of Fortinet’s FortiGuard Labs
• Alvin Poon https://alvinpoon.myportfolio.com/
• Updating…