Security Bug Bounty Program

Rozsah produktů

Tento program přijímá pouze hlášení o zranitelnostech souvisejících s produkty a webovými službami Synology. Hlášení o zranitelnostech, které nespadají do rozsahu programu, obvykle nevytvářejí nárok na odměny; podle situace ale mohou být přijata i hlášení o kritických zranitelnostech, které do rozsahu nespadají.

Operační systémy

Odměny do částky

30 000 USD

Sem patří systémy Synology DiskStation Manager, Synology Router Manager a Synology BeeStation.

Další informace

Software a služby C2 Cloud

Odměny do částky

10 000 USD

Sem patří softwarové balíčky vyvinuté společností Synology, související mobilní aplikace a služby C2 Cloud.

Další informace

Webové služby

Odměny do částky

5 000 USD

Sem patří všechny významné webové služby Synology.

Další informace

Podrobnosti o odměnách

Kritéria pro získání nároku na odměnu

Poskytněte jakékoliv informace, které jsou potřeba k reprodukování nahlášených problémů. Velikost odměny závisí na závažnosti nahlášené zranitelnosti a na kategorii postiženého produktu.

Abyste za hlášení získali nárok na peněžní odměnu, musí splňovat následující kritéria:

Jste prvním výzkumníkem, který tuto zranitelnost nahlásil
Potvrdí se, že nahlášená zranitelnost představuje ověřitelný, reprodukovatelný a platný problém se zabezpečením
Vaše hlášení splňuje podmínky programu odměn

Nahlašování bezpečnostních chyb

Pokud se domníváte, že jste zjistili nějakou zranitelnost, postupujte podle následujících pokynů:

Krok 1

Obraťte se na nás pomocí kontaktního formuláře programu odměn.

Krok 2

Při odesílání hlášení o chybách do společnosti Synology zašifrujte odesílané informace pomocí tohoto klíče PGP.

Krok 3

Přiložte podrobné ověření konceptu (PoC) a přesvědčte se, že je možné nahlašované problémy reprodukovat.

Krok 4

Popis by měl být stručný. Například odkaz na stručné ověření konceptu se cení více než video s vysvětlením důsledků problému SSRF.

Vaše a naše odpovědnost

Vaše hlášení

Aby se zkrátila doba zpracování, měla by dobrá hlášení o zranitelnosti:

Obsahovat srozumitelný a podrobný popis způsobu, jakým lze zranitelnost reprodukovat, v angličtině
Demonstrovat, jakým způsobem tato zranitelnost ovlivňuje produkty nebo webové služby Synology, a uvést, které verze a platformy jsou touto zranitelností postiženy
Uvést potenciální škody, které by nahlášená zranitelnost mohla způsobit

Naše odpověď

Bezpečnostní tým Synology odpoví na vaši hlášení do 7 dní, bude jeho stav pravidelně aktualizovat a podle závažnosti uvedené hrozby zajistí co nejrychlejší opravu této zranitelnosti.

Pokud za vaši hlášení o zranitelnosti získáte nárok na peněžní odměnu, bude vaše jméno jako výraz našeho uznání uvedeno na stránce Security Advisor pro produkty Synology na našich oficiálních webových stránkách.

Tento proces bude trvat alespoň 90 dní. Odměnu vám převedeme po dokončení tohoto procesu.

Poznámky:Společnost Synology si vyhrazuje právo tento program, včetně jeho zásad, bez předchozího oznámení kdykoli změnit nebo zrušit.

Operační systémy

Odměna	Způsobilá hlášení mohou být odměněna částkou až 30 000 USD.*
Produkty spadající do rozsahu	Přijímáme pouze hlášení týkající se oficiálně vydaných verzí. DiskStation Manager (DSM) DSM 7 (nejnovější verze) Synology Router Manager (SRM) SRM 1.3 (nejnovější verze) Firmware pro zařízení Synology Camera Firmware 1.1 (nejnovější verze) Synology BeeStation BeeStation OS 1.0 (nejnovější verze)
Předpisy a omezení	Tento program je omezen výhradně na zranitelnosti zabezpečení nalezené v produktech a službách společnosti Synology. Akce, které by mohly potenciálně poškodit nebo nepříznivě ovlivnit servery nebo data společnosti Synology, jsou přísně zakázány. Testování zranitelnosti nesmí porušovat místní ani tchajwanské zákony. V rámci tohoto programu nebudou přijaty žádná hlášení o zranitelnostech, jestliže budou popisovat nebo zahrnovat: Útoky DoS (Denial of Service) na servery Synology nebo na servery uživatelů Testování zranitelnosti se škodlivým dopadem na servery Synology nebo data uživatelů Fyzické útoky nebo sociální inženýrství Zveřejnění informací o chybách před schválením společností Synology Nekritické zranitelnosti v zastaralých službách nebo produktech Zranitelnosti postihující pouze zastaralé webové prohlížeče Většina typů útoků hrubou silou Útoky Reflected XSS nebo Self XSS Zranitelnosti zahrnující fishing, vytváření falešných webových stránek nebo páchání podvodů Hlášení o vyhledávání zranitelností, které neobsahují podrobnosti o dopadech zranitelnosti Oznámení, že jsou zranitelné výchozí porty, ale bez uvedení PoC Teoretické zranitelnosti bez uvedení konkrétního ověření konceptu (PoC) Samotná otevřená přesměrování se obvykle považují pouze za informační a nevytvářejí nárok na odměnu, pokud ovšem nepřispívají k nějaké významnější zranitelnosti Chybějící záhlaví zabezpečení, která nevedou přímo ke zneužití Chybějící příznaky zabezpečení v souborech cookie Výčet uživatelů. Hlášení uvádějící výčet uživatelů do tohoto rozsahu nespadají, pokud ovšem nemůžete prokázat, že nemáme žádná omezení rychlosti zajišťující ochranu našich uživatelů.

Odměna

Způsobilá hlášení mohou být odměněna částkou až 30 000 USD.*

Produkty spadající do rozsahu

Přijímáme pouze hlášení týkající se oficiálně vydaných verzí.

DiskStation Manager (DSM)

DSM 7 (nejnovější verze)

Synology Router Manager (SRM)

SRM 1.3 (nejnovější verze)

Firmware pro zařízení Synology Camera

Firmware 1.1 (nejnovější verze)

Synology BeeStation

BeeStation OS 1.0 (nejnovější verze)

Předpisy a omezení

Tento program je omezen výhradně na zranitelnosti zabezpečení nalezené v produktech a službách společnosti Synology. Akce, které by mohly potenciálně poškodit nebo nepříznivě ovlivnit servery nebo data společnosti Synology, jsou přísně zakázány. Testování zranitelnosti nesmí porušovat místní ani tchajwanské zákony.

V rámci tohoto programu nebudou přijaty žádná hlášení o zranitelnostech, jestliže budou popisovat nebo zahrnovat:

Útoky DoS (Denial of Service) na servery Synology nebo na servery uživatelů
Testování zranitelnosti se škodlivým dopadem na servery Synology nebo data uživatelů
Fyzické útoky nebo sociální inženýrství
Zveřejnění informací o chybách před schválením společností Synology
Nekritické zranitelnosti v zastaralých službách nebo produktech
Zranitelnosti postihující pouze zastaralé webové prohlížeče
Většina typů útoků hrubou silou
Útoky Reflected XSS nebo Self XSS
Zranitelnosti zahrnující fishing, vytváření falešných webových stránek nebo páchání podvodů
Hlášení o vyhledávání zranitelností, které neobsahují podrobnosti o dopadech zranitelnosti
Oznámení, že jsou zranitelné výchozí porty, ale bez uvedení PoC
Teoretické zranitelnosti bez uvedení konkrétního ověření konceptu (PoC)
Samotná otevřená přesměrování se obvykle považují pouze za informační a nevytvářejí nárok na odměnu, pokud ovšem nepřispívají k nějaké významnější zranitelnosti
Chybějící záhlaví zabezpečení, která nevedou přímo ke zneužití
Chybějící příznaky zabezpečení v souborech cookie
Výčet uživatelů. Hlášení uvádějící výčet uživatelů do tohoto rozsahu nespadají, pokud ovšem nemůžete prokázat, že nemáme žádná omezení rychlosti zajišťující ochranu našich uživatelů.

*Další podrobnosti jsou uvedeny na stránce Podrobnosti o odměnách na webové stránce programu hledání bezpečnostních chyb.
**Maximální odměna za zranitelnosti v operačním systému SRM_LAN je 5000 USD.
***Maximální odměna za zranitelnosti ve firmwaru kamery je 10 000 USD.

Software a služby C2 Cloud

Odměna	Způsobilá hlášení mohou být odměněna částkou až 10 000 USD.*
Produkty spadající do rozsahu	Přijímáme pouze hlášení týkající se oficiálně vydaných verzí. Balíčky Softwarové balíčky vyvinuté společností Synology Počítačoví klienti Aplikace pro systémy Windows, macOS a Linux vyvinuté společností Synology Mobilní aplikace Mobilní aplikace pro systémy Android a iOS vyvinuté společností Synology Účet Synology Domény .account.synology.com Domény .identity.synology.com Služby C2 Domény *.c2.synology.com
Předpisy a omezení	Tento program je omezen výhradně na zranitelnosti zabezpečení nalezené v produktech a službách společnosti Synology. Akce, které by mohly potenciálně poškodit nebo nepříznivě ovlivnit servery nebo data společnosti Synology, jsou přísně zakázány. Testování zranitelnosti nesmí porušovat místní ani tchajwanské zákony. V rámci tohoto programu nebudou přijaty žádná hlášení o zranitelnostech, jestliže budou popisovat nebo zahrnovat: Útoky DoS (Denial of Service) na servery Synology nebo na servery uživatelů Testování zranitelnosti se škodlivým dopadem na servery Synology nebo data uživatelů Fyzické útoky nebo sociální inženýrství Zveřejnění informací o chybách před schválením společností Synology Nekritické zranitelnosti v zastaralých službách nebo produktech Zranitelnosti postihující pouze zastaralé webové prohlížeče Většina typů útoků hrubou silou Útoky Reflected XSS nebo Self XSS Zranitelnosti zahrnující fishing, vytváření falešných webových stránek nebo páchání podvodů Hlášení o vyhledávání zranitelností, které neobsahují podrobnosti o dopadech zranitelnosti Oznámení, že jsou zranitelné výchozí porty, ale bez uvedení PoC Teoretické zranitelnosti bez uvedení konkrétního ověření konceptu (PoC) Samotná otevřená přesměrování se obvykle považují pouze za informační a nevytvářejí nárok na odměnu, pokud ovšem nepřispívají k nějaké významnější zranitelnosti Chybějící záhlaví zabezpečení, která nevedou přímo ke zneužití Chybějící příznaky zabezpečení v souborech cookie Výčet uživatelů. Hlášení uvádějící výčet uživatelů do tohoto rozsahu nespadají, pokud ovšem nemůžete prokázat, že nemáme žádná omezení rychlosti zajišťující ochranu našich uživatelů.

Odměna

Způsobilá hlášení mohou být odměněna částkou až 10 000 USD.*

Produkty spadající do rozsahu

Přijímáme pouze hlášení týkající se oficiálně vydaných verzí.

Balíčky

Softwarové balíčky vyvinuté společností Synology

Počítačoví klienti

Aplikace pro systémy Windows, macOS a Linux vyvinuté společností Synology

Mobilní aplikace

Mobilní aplikace pro systémy Android a iOS vyvinuté společností Synology

Účet Synology

Domény *.account.synology.com
Domény *.identity.synology.com

Služby C2

Domény *.c2.synology.com

Předpisy a omezení

V rámci tohoto programu nebudou přijaty žádná hlášení o zranitelnostech, jestliže budou popisovat nebo zahrnovat:

Útoky DoS (Denial of Service) na servery Synology nebo na servery uživatelů
Testování zranitelnosti se škodlivým dopadem na servery Synology nebo data uživatelů
Fyzické útoky nebo sociální inženýrství
Zveřejnění informací o chybách před schválením společností Synology
Nekritické zranitelnosti v zastaralých službách nebo produktech
Zranitelnosti postihující pouze zastaralé webové prohlížeče
Většina typů útoků hrubou silou
Útoky Reflected XSS nebo Self XSS
Zranitelnosti zahrnující fishing, vytváření falešných webových stránek nebo páchání podvodů
Hlášení o vyhledávání zranitelností, které neobsahují podrobnosti o dopadech zranitelnosti
Oznámení, že jsou zranitelné výchozí porty, ale bez uvedení PoC
Teoretické zranitelnosti bez uvedení konkrétního ověření konceptu (PoC)
Samotná otevřená přesměrování se obvykle považují pouze za informační a nevytvářejí nárok na odměnu, pokud ovšem nepřispívají k nějaké významnější zranitelnosti
Chybějící záhlaví zabezpečení, která nevedou přímo ke zneužití
Chybějící příznaky zabezpečení v souborech cookie
Výčet uživatelů. Hlášení uvádějící výčet uživatelů do tohoto rozsahu nespadají, pokud ovšem nemůžete prokázat, že nemáme žádná omezení rychlosti zajišťující ochranu našich uživatelů.

*Další podrobnosti jsou uvedeny na stránce Podrobnosti o odměnách na webové stránce programu hledání bezpečnostních chyb.

Webové služby

Odměna	Způsobilá hlášení mohou být odměněna částkou až 5 000 USD.*
Produkty spadající do rozsahu	Do rozsahu spadají následující domény (včetně poddomén): *.synology.com Následující domény (včetně poddomén) do rozsahu nespadají: openstack-ci-logs.synology.com, router.synology.com Společnost Synology si vyhrazuje právo tento seznam kdykoliv a bez předchozího upozornění měnit.
Předpisy a omezení	Tento program je omezen výhradně na zranitelnosti zabezpečení nalezené v produktech a službách společnosti Synology. Akce, které by mohly potenciálně poškodit nebo nepříznivě ovlivnit servery nebo data společnosti Synology, jsou přísně zakázány. Testování zranitelnosti nesmí porušovat místní ani tchajwanské zákony. V rámci tohoto programu nebudou přijaty žádná hlášení o zranitelnostech, jestliže budou popisovat nebo zahrnovat: Útoky DoS (Denial of Service) na servery Synology nebo na servery uživatelů Testování zranitelnosti se škodlivým dopadem na servery Synology nebo data uživatelů Fyzické útoky nebo sociální inženýrství Zveřejnění informací o chybách před schválením společností Synology Procházení adresářů na webu https://*archive.synology.com Reflected file download Problémy se zachytáváním bannerů nebo zveřejnění verze softwaru Zranitelnost nultého dne zveřejněná do 90 dnů Nekritické zranitelnosti v zastaralých službách nebo produktech Zranitelnosti postihující pouze zastaralé webové prohlížeče Většina typů útoků hrubou silou Útoky Reflected XSS nebo Self XSS Zranitelnosti zahrnující fishing, vytváření falešných webových stránek nebo páchání podvodů Hlášení o skenování zranitelností, které neobsahují podrobnosti o dopadech zranitelnosti Označení výchozích portů jako zranitelných, ale bez uvedení PoC Teoretické zranitelnosti bez uvedení konkrétního ověření konceptu (PoC) Samotná otevřená přesměrování se obvykle považují pouze za informační a nevytvářejí nárok na odměnu, pokud ovšem nepřispívají k nějaké významnější zranitelnosti Chybějící záhlaví zabezpečení, která nevedou přímo ke zneužití Chybějící příznaky zabezpečení v souborech cookie Výčet uživatelů. Hlášení uvádějící výčet uživatelů do tohoto rozsahu nespadají, pokud ovšem nemůžete prokázat, že nemáme žádná omezení rychlosti zajišťující ochranu našich uživatelů.

Odměna

Způsobilá hlášení mohou být odměněna částkou až 5 000 USD.*

Produkty spadající do rozsahu

Do rozsahu spadají následující domény (včetně poddomén):

*.synology.com

Následující domény (včetně poddomén) do rozsahu nespadají:

openstack-ci-logs.synology.com, router.synology.com

Společnost Synology si vyhrazuje právo tento seznam kdykoliv a bez předchozího upozornění měnit.

Předpisy a omezení

V rámci tohoto programu nebudou přijaty žádná hlášení o zranitelnostech, jestliže budou popisovat nebo zahrnovat:

Útoky DoS (Denial of Service) na servery Synology nebo na servery uživatelů
Testování zranitelnosti se škodlivým dopadem na servery Synology nebo data uživatelů
Fyzické útoky nebo sociální inženýrství
Zveřejnění informací o chybách před schválením společností Synology
Procházení adresářů na webu https://*archive.synology.com
Reflected file download
Problémy se zachytáváním bannerů nebo zveřejnění verze softwaru
Zranitelnost nultého dne zveřejněná do 90 dnů
Nekritické zranitelnosti v zastaralých službách nebo produktech
Zranitelnosti postihující pouze zastaralé webové prohlížeče
Většina typů útoků hrubou silou
Útoky Reflected XSS nebo Self XSS
Zranitelnosti zahrnující fishing, vytváření falešných webových stránek nebo páchání podvodů
Hlášení o skenování zranitelností, které neobsahují podrobnosti o dopadech zranitelnosti
Označení výchozích portů jako zranitelných, ale bez uvedení PoC
Teoretické zranitelnosti bez uvedení konkrétního ověření konceptu (PoC)
Samotná otevřená přesměrování se obvykle považují pouze za informační a nevytvářejí nárok na odměnu, pokud ovšem nepřispívají k nějaké významnější zranitelnosti
Chybějící záhlaví zabezpečení, která nevedou přímo ke zneužití
Chybějící příznaky zabezpečení v souborech cookie
Výčet uživatelů. Hlášení uvádějící výčet uživatelů do tohoto rozsahu nespadají, pokud ovšem nemůžete prokázat, že nemáme žádná omezení rychlosti zajišťující ochranu našich uživatelů.

*Další podrobnosti jsou uvedeny na stránce Podrobnosti o odměnách na webové stránce programu hledání bezpečnostních chyb.

Podrobnosti o odměnách

Tato stránka slouží k tomu, aby se výzkumníci seznámili se s potenciálními maximálními odměnami za konkrétní typy zranitelností a upozorňuje, kterých typů zranitelností si společnost Synology nejvíce cení. Vážíme si vašich příspěvků a významné příspěvky k výzkumu zabezpečení spravedlivě odměníme.

Odměny uvedené v tabulce představují maximální možnou částku u každé kategorie, není však zaručeno, že všechna způsobilá hlášení uvedenou částku obdrží.*

Naléhavé
	Operační systémy	Software a služby C2 Cloud	Webové služby
Zero-click pre-auth RCE	30 000 USD	10 000 USD	5 000 USD
Zero-click pre-auth arbitrary file r/w	9 000 USD	4 600 USD	2 400 USD

Důležité
	Operační systémy	Software a služby C2 Cloud	Webové služby
1-click pre-auth RCE	8 000 USD	4 000 USD	2 000 USD
Zero-click normal-user-auth RCE	7 500 USD	3 900 USD	1 900 USD
Zero-click normal-user-auth arbitrary file r/w	6 500 USD	3 400 USD	1 700 USD
Zero-click pre-auth RCE (AC:H)	6 500 USD	3 400 USD	1 700 USD
1-click pre-auth RCE (AC:H)	5 000 USD	2 500 USD	1 325 USD
pre-auth SQL injection	3 800 USD	1 950 USD	1 025 USD
1-click normal-user-auth RCE (AC:H)	2 600 USD	1 350 USD	725 USD
pre-auth stored XSS	2 600 USD	1 350 USD	725 USD

Střední
	Operační systémy	Software a služby C2 Cloud	Webové služby
normal-user-auth stored XSS	1 350 USD	733 USD	417 USD
normal-user-auth SQL injection	1 200 USD	607 USD	353 USD
admin-auth vulnerabilities	100 USD	100 USD	100 USD

Od 1. října 2024 budou odměny za odhalení zranitelnosti ověřování na úrovni správce nastaveny na 100 USD.
Pokud u počítačových klientů obsahuje vektor CVSS (Common Vulnerability Scoring System) cokoli z níže uvedeného, odměna je nastavena na 100 USD:
- AV:L
- AV:A
- AV:N/AC:H

Poznámky:

Přestože existují vodítka týkající se odměn, bude každé nahlášení zpracováno a důkladně vyhodnoceno individuálně. Při hodnocení se berou v úvahu různé faktory, mimo jiné rozsah podrobně popsaný v části o odměnách. Společnost Synology si vyhrazuje právo na konečnou interpretaci výše odměn.
V případě problémů klasifikovaných jako problémy s nízkou závažností nebo náměty se budou vydávat pouze potvrzení.

Nejčastější dotazy

Jak mám zranitelnost nahlásit?Uveďte podrobný popis ověření konceptu (PoC) a přesvědčte se, že je možné nahlášené problémy reprodukovat. Při hlášení chyb použijte tento šifrovací klíč PGP nabízený společností Synology a neprozrazujte příslušné informace žádné jiné osobě.Kdo rozhodne o tom, jestli mám za své hlášení o chybě nárok na odměnu?Všechna hlášení o chybách jsou kontrolována a vyhodnocována bezpečnostním týmem Synology, který se skládá z dlouholetých bezpečnostních analytiků ze společnosti Synology.Jaký důsledek bude mít zveřejnění chyby před jejím opravením?Snažíme se na hlášení o chybách rychle reagovat a za rozumnou dobu je opravit. Poprosili bychom vás, abyste nás před zveřejněním informací o chybě nejprve informovali. Jestliže při zveřejnění chyby tuto zásadu nedodržíte, nebudete mít nárok na odměnu.Vzniká nárok na odměnu za zranitelnosti zjištěné v zastaralém softwaru, například Apache nebo Nginx?Identifikujte zranitelnosti v softwaru a vysvětlete, proč se domníváte, že mají na používání softwaru škodlivý dopad. Hlášení, která tento typ informací neobsahují, nemají obvykle nárok na odměnu.Můžu požádat, aby moje jméno nebylo uvedeno na stránce Bezpečnostní doporučení společnosti Synology?Ano. Můžete požádat, abychom vás na naší stránce Bezpečnostní doporučení neuváděli. Pokud ale získáte nárok na odměnu a budete ji chtít přijmout, budeme potřebovat vaše kontaktní údaje, abychom mohli platbu zpracovat.Vzniká nárok na odměnu za zranitelnosti nahlášené obchodníkům se zranitelnostmi?Soukromé odhalení zranitelnosti jiným osobám za jiným účelem než opravy chyby je v rozporu s duchem našeho programu. Takováto hlášení proto nebudou mít nárok na odměnu.Kdo bude mít nárok na odměnu, pokud bude stejná chyba nahlášena více než jednou osobou?Odměnu obdrží první osoba, která nám dříve neznámou zranitelnost objeví.

Poděkování

Chceme poděkovat všem s námi spolupracujícím výzkumníkům a organizacím zabývajícími se výzkumem zabezpečení.

David Oxley
Abdelali Chekiel
Sahil Shah (https://www.linkedin.com/in/sahilshah3276/)
@sunscan@infosec.exchange
Mehedi Hasan (SecMiners BD) https://www.facebook.com/polapain.1337/
Philipp Tekeser-Glasz from HvS-Consulting GmbH (https://www.hvs-consulting.de)
Jesse Walker (IBM NS1 Connect)

Khoadha from VCSLab of Viettel Cyber Security ( https://viettelcybersecurity.com/)
Tim Coen (https://security-consulting.icu/)
Mykola Grymalyuk from RIPEDA Consulting
Zhao Runzi (赵润梓)
Andrea Maugeri (https://www.linkedin.com/in/andreamaugeri)
Offensive Security Research @ Ronin (https://ronin.ae/)
Nathan (Yama) https://DontClickThis.run
M Tayyab Iqbal (www.alphainferno.com)
Only Hack in Cave (tr4ce(Jinho Ju), neko_hat(Dohwan Kim), tw0n3(Han Lee), Hc0wl(GangMin Kim)) (https://github.com/Team-OHiC)
Wonbeen Im, STEALIEN (https://stealien.com)
赵润梓、李建申（https://lsr00ter.github.io）
Cheripally Sathwik (https://www.instagram.com/ethical_hacker_sathwik)
Steven Lin (https://x.com/5teven1in)
Qian Chen (@cq674350529) from Codesafe Team of Legendsec at QI-ANXIN Group
Mohd Ali (revengerali)
Orange Tsai (@orange_8361) from DEVCORE Research Team
Bocheng Xiang with FDU(@crispr)
HANRYEOL PARK, HYOJIN LEE, HYEOKJONG YUN, HYEONJUN LEE, DOWON KWAK, ZIEN (https://zi-en.io/)
Hydrobikz (https://www.linkedin.com/in/bikash-)
Can Acar (https://imcan.dev)
Yves Bieri of Compass Security (https://www.compass-security.com)
DEVCORE Research Team (https://devco.re/)
aoxsin (https://twitter.com/aoxsin)
Josh "JD" Byrnes (https://jd.byrnes.au/)
Chanin Kim of ENKI Whitehat

Endure Secure (https://endsec.au)
Stephen Argent (https://www.runby.coffee/)
Qian Chen (@cq674350529) from Codesafe Team of Legendsec at QI-ANXIN Group
Jan Kopřiva of Nettles Consulting (https://www.nettles.cz/security/)
Andrej Zaujec (https://www.linkedin.com/in/andrej-zaujec-24ba07158/)
chumen77 from WeBin Lab of DbappSecurity Co.,Ltd.
Bruce Chen (https://twitter.com/bruce30262)
aoxsin (https://twitter.com/aoxsin)
Armanul Miraz
Jaehoon Jang, STEALIEN (https://stealien.com)
Jangwoo Choi, HYEONJUN LEE, SoYeon Kim, TaeWan Ha, DoHwan Kim (https://zrr.kr/SWND)
Jaehoon Jang, Wonbeen Im, STEALIEN (https://stealien.com)
Tomer Goldschmidt and Sharon Brizinov of Claroty Research - Team82
Vo Van Thong of GE Security (VNG) (https://www.linkedin.com/in/thongvv3/)
Hussain Adnan Hashim (https://www.linkedin.com/in/hussain0x3c)
TEAM.ENVY (https://team-envy.gitbook.io/team.envy/about-us)
Tim Coen (https://security-consulting.icu)
TEAM TGLS (Best of the Best 12th) (https://zrr.kr/SWND)
Zhao Runzi (赵润梓)

Kevin Wang (https://twitter.com/kevingwn_ )
Shubham Kushwaha/ meenakshi Maurya (https://github.com/anabelle666)
Safwat Refaat (@Caesar302)
Jeffrey Baker (www.Biznet.net)
Monisha N (https://www.linkedin.com/in/monisha-nagaraj-321524218/)
Ravi (https://twitter.com/itsrvsinghh)
remonsec (https://twitter.com/remonsec)
TheLabda (https://thelabda.com)
Grant Kellie (https://www.linkedin.com/in/grant-kellie-54a23b238/)
pulla karthik srivastav (https://www.linkedin.com/in/karthik-srivastav-680359192)
Muhammad Tanvir Ahmed https://www.facebook.com/tohidulislam.tanvir.948
Eugene Lim, Government Technology Agency of Singapore (https://spaceraccoon.dev)
Laurent Sibilla (https://www.linkedin.com/in/lsibilla/)
Thomas Werschlein (https://www.linkedin.com/in/thomas-werschlein-2293384b)
Sivanesh kumar (https://twitter.com/sivanesh_hacker)
Davis Chang. (https://www.linkedin.com/in/hong-tsun-davis-chang/)
@aoxsin (https://twitter.com/aoxsin)
Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
Hasibul Hasan Shawon (@Saiyan0x01)
Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
Zain Iqbal (https://www.linkedin.com/in/zain-iqbal-971b76254/)
Lukas Kupczyk, CrowdStrike Intelligence
Tomasz Szczechura (https://www.linkedin.com/in/tomasz-szczechura-5189098b/)
Zhao Runzi (赵润梓)

Qian Chen (@cq674350529) from Codesafe Team of Legendsec at Qi'anxin Group
Patrik Fabian (https://websafe.hu)
Eugene Lim, Government Technology Agency of Singapore (https://spaceraccoon.dev)
Jeenika Anadani (https://twitter.com/j33n1k4)
waterpeitw (https://zeroday.hitcon.org/user/waterpeitw)
Milan katwal (https://www.milankatwal.com.np/)
N S R de Rooy (https://www.linkedin.com/in/norbert-de-rooy-9b24527/)
Christian Tucci (https://www.linkedin.com/in/christian-tucci/)
Ravindra Dagale (https://www.linkedin.com/in/ravindra-dagale-5b0913151/)
Sanket Anil Ambalkar (https://www.linkedin.com/in/sanket-ambalkar-70211518b/)
Chirag Agrawal (https://www.linkedin.com/in/chirag-agrawal-770488144/)
Yimi Hu@baidu.com
Raman R Mohurle (https://twitter.com/Raman_Mohurle)
cmj (http://blog.cmj.tw/)
Parth Manek
Patrick Williams (https://www.linkedin.com/in/patrick-williams-6992b4104/)
Amaranath Moger (https://www.linkedin.com/in/amaranath-moger/)
Dennis Herrmann (Code White GmbH)
Siddharth Parashar (https://www.linkedin.com/in/siddharth-parashar-b2a21b1b5/)
Sahil Soni (https://twitter.com/sahil__soni_18?s=08)
Hasibul Hasan Shawon -[Sec Miner's Bangladesh]
Devender Rao (https://www.linkedin.com/in/devender-rao)
RAJIB BAR (https://www.linkedin.com/in/rajib-bar-rjb-b3683314b)
Atharv Shejwal (https://kongsec.io)
Xavier DANEST (https://sustainability.decathlon.com/)
Aditya Shende (http://kongsec.io)
Andreas Rothenbacher (https://error401.de)
Rachit Verma @b43kd00r (https://www.linkedin.com/in/b43kd00r/)
Suraj SK (https://www.linkedin.com/in/suraj-sk/)
Simon Effenberg (https://www.linkedin.com/in/simon-effenberg)
Niraj Mahajan (https://www.linkedin.com/in/niraj1mahajan)
Ayush Pandey (https://www.linkedin.com/in/ayush-pandey-148797175)
Sivanesh kumar D (https://twitter.com/sivanesh_hacker?s=09)
Touhid Shaikh (https://securityium.com/)
N Krishna Chaitanya (https://www.linkedin.com/in/n-krishna-chaitanya-27926aba/)
Ayush Mangal (https://www.linkedin.com/in/ayush-mangal-48a168110)
Tameem Khalid (https://www.linkedin.com/in/tameem-khalid-641a4b192/)
ddaa of TrapaSecurity (https://twitter.com/0xddaa)
Praveen Kumar
Oscar Spierings (https://polyform.dev)
Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
swings of Chaitin Security Research Lab
Hasibul Hasan Rifat (https://twitter.com/rifatsec)
Lanni
Yeshwanth (https://www.linkedin.com/in/yeshwanth-b-4a560b202)
Darshan Sunil jogi (https://www.linkedin.com/in/darshan-jogi-9450431b6/)

Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
Lanni
Swapnil Patil (https://www.linkedin.com/in/swapnil-patil-874223195)
Vladislav Akimenko (Digital Security) (https://dsec.ru)
Muhammad Junaid Abdullah (https://twitter.com/an0n_j)
Claudio Bozzato of Cisco Talos (https://talosintelligence.com/vulnerability_reports/)
Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
Aditya Soni (https://www.linkedin.com/in/adtyasoni)
Mansoor Amjad (https://twitter.com/TheOutcastCoder)
Thomas Fady (https://www.linkedin.com/in/thomas-fady)
James Smith (Bridewell Consulting) (https://bridewellconsulting.com)
Kinshuk Kumar (https://www.linkedin.com/in/kinshuk-kumar-4833551a1/)
Amit Kumar (https://www.linkedin.com/in/amit-kumar-9853731a4)
Mehedi Hasan Remon (twitter.com/remonsec)
Joshua Olson (www.linkedin.com/in/joshua-olson-cysa)
Vaibhav Rajeshwar Atkale(https://twitter.com/atkale_vaibhav)
Mohammed Eldawody (www.fb.com/eldawody0)
YoKo Kho (https://twitter.com/YoKoAcc)
Satyajit Das (https://www.linkedin.com/in/mrsatyajitdas)
Tinu Tomy (https://twitter.com/tinurock007)
Aniket Bhutani (https://www.linkedin.com/in/aniket-bhutani-6ba979192/)
Anurag Muley (https://www.linkedin.com/in/ianuragmuley/)
Howard Ching (https://www.linkedin.com/in/howard-ching-rhul/)
Janmejaya Swain (https://www.linkedin.com/in/janmejayaswainofficial)
Ahmad Firmansyah (https://twitter.com/AhmdddFsyaaah)
Agrah Jain (www.linkedin.com/in/agrahjain)
Shivam Kamboj Dattana (https://www.linkedin.com/in/sechunt3r/)
Pratik Vinod Yadav (https://twitter.com/PratikY9967)
Akshaykumar Kokitkar (https://mobile.twitter.com/cyber_agent2)
Shesha Sai C (https://www.linkedin.com/in/shesha-sai-c-18585b125)
Yash Agarwal (https://www.linkedin.com/in/yash-agarwal-17464715b)
Jan KOPEC(https://twitter.com/blogresponder)
Denis Burtanović
Hasibul Hasan Shawon -[Sec Miner's Bangladesh]
Georg Delp (https://www.linkedin.com/in/georgdelp/)

R Atik Islam (https://www.facebook.com/atik.islam.14661)
Jose Israel Nadal Vidal (https://twitter.com/perito_inf)
Thomas Grünert (https://de.linkedin.com/in/thomas-gr%C3%BCnert-250905168)
Matteo Bussani (https://www.linkedin.com/in/matteo-bussani-77b595198/)
Bing-Jhong Jheng (https://github.com/st424204/ctf_practice)
Swapnil Patil (https://www.linkedin.com/in/swapnil-patil-874223195)
Prakash Kumar Parthasarathy (https://www.linkedin.com/in/prakashofficial)
Kitab Ahmed (www.ahmed.science)
Ahmad Firmansyah (https://twitter.com/AhmdddFsyaaah)
Tiziano Di Vincenzo (https://www.linkedin.com/in/tiziano-d-3324a345/)
Pratik Vinod Yadav (https://www.linkedin.com/in/pratik-yadav-117463149)
Diwakar Kumar (https://www.linkedin.com/in/diwakar-kumar-5b3843114/)
Rushi Gayakwad
Yash Ahmed Quashim (https://www.facebook.com/abir.beingviper)
Swapnil Kothawade (https://twitter.com/Swapnil_Kotha?s=09)
Ankit Kumar (https://www.linkedin.com/in/ankit-kumar-42a644166/)
Aman Rai (https://www.linkedin.com/in/aman-rai-737a19146)
Rushikesh Gaikwad (https://www.linkedin.com/in/rushikesh-gaikwad-407163171)
Rupesh Tanaji Kokare (https://www.linkedin.com/in/rupesh-kokare-b63a78145/)
Sumit Jain (https://twitter.com/sumit_cfe)
Qian Chen of Qihoo 360 Nirvan Team
Vishal Vachheta (https://www.linkedin.com/in/vishal-vachheta-a30863122)
Zhong Zhaochen
Tomasz Grabowski
Nightwatch Cybersecurity Research (https://wwws.nightwatchcybersecurity.com)
Safwat Refaat (https://twitter.com/Caesar302)
Agent22 (https://securelayer7.net/)
Hsiao-Yung Chen
Rich Mirch (https://blog.mirch.io)
Ronak Nahar (https://www.linkedin.com/in/naharronak/)
Noman Shaikh (https://twitter.com/nomanAli181)
David Deller (https://horizon-nigh.org)
Mehedi Hasan (SecMiners BD) (https://www.facebook.com/polapan.1337)
Touhid M Shaikh (https://touhidshaikh.com)
Abhishek Gaikwad
Kitabuddin Ahmed
Noman Shaikh (https://twitter.com/nomanAli181)
Ajit Sharma (https://www.linkedin.com/in/ajit-sharma-90483655)
Agung Saputra Ch Lages (https://twitter.com/lagesgeges)
Dan Thomsen (www.thomsen.fo)
Erik de Jong (https://eriknl.github.io)
Sphinx 1,2 (https://www.facebook.com/Sphinx01.10/)
AHMED ELSADAT (https://www.linkedin.com/in/ahmed-elsadat-138755133/)
Hasibul Hasan (SecMiner)
Mohammed Eldawody (www.fb.com/eldawody0)
Chris Schneider
Abdullah Fares Muhanna (https://www.facebook.com/AbedullahFares)
Nick Blyumberg (https://www.linkedin.com/in/nickblyumberg/)
Axel Peters
Muhammad Junaid Abdullah (https://twitter.com/an0n_j)
Kyle Green
Thomas Fady (https://www.linkedin.com/in/thomas-fady)
Dankel Ahmed (https://hackerone.com/kitab)
ShuangYY
HackTrack Security
Muhammed Ashmil K K (Kavuthukandiyil)

Muhammad Junaid Abdullah (https://twitter.com/snoviboy)
Kishan kumar (https://facebook.com/noobieboy007)
Lays (http://l4ys.tw)
Ashish Kumar (https://www.facebook.com/buggyashish)
Lakshay Gupta (http://linkedin.com/in/lakshay-gupta-44102a143)
Meng-Huan Yu (https://www.linkedin.com/in/cebrusfs/)
Ifrah Iman (http://www.ifrahiman.com)
Mohammed Israil (https://www.facebook.com/VillageLad, https://www.linkedin.com/in/mohammed-israil-221656128)
Taien Wang (https://www.linkedin.com/in/taienwang/)
Emad Shanab (@Alra3ees) (https://twitter.com/Alra3ees?s=09)
குகன் ராஜா (Havoc Guhan) (https://fb.com/havocgwen)
Yasser Gersy (https://twitter.com/yassergersy)
Ismail Tasdelen (https://www.linkedin.com/in/ismailtasdelen)
Thomas Fady (https://www.linkedin.com/in/thomas-fady)
Oliver Kramer (https://www.linkedin.com/in/oliver-kramer-670206b5)
1N3@CrowdShield (https://crowdshield.com)
louys, Xie Wei (解炜), Li Yanlong (李衍龙)
Zuo Chaoshun (https://www.linkedin.com/in/chaoshun-zuo-5b9559111/)
Ali Razzaq (https://twitter.com/AliRazzaq_)
丁諭祺(Yu-Chi Ding) from DEVCORE CHROOT
Alex Weber (www.broot.ca)
Alex Bastrakov (https://twitter.com/kazan71p)
Mehidia Tania (https://www.beetles.io)
freetsubasa (https://twitter.com/freetsubasa)
Łukasz Rutkowski (http://www.forit.pl/)
Maximilian Tews (www.linkedin.com/in/maximilian-tews)
Bryan Galao (https://www.facebook.com/xbryan.galao)
Jim Zhou (vip-cloud.cn)
Chun Han Hsiao
Nightwatch Cybersecurity Research (https://wwws.nightwatchcybersecurity.com)
Olivier Bédard
Mohamed Eldawody (https://www.facebook.com/Eldawody0)
Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
郑吉宏通过 GeekPwn 平台提交
Independent Security Evaluators (ISE) labs
Independent security researcher, MengHuan Yu, has reported this vulnerability to Beyond Security’s SecuriTeam Secure Disclosure program
B.Dhiyaneshwaran (https://www.linkedin.com/in/dhiyaneshwaran-b-27947a131/)
Freiwillige Feuerwehr Rohrbach (www.ff-rohrbach.de)
Uriya Yavnieli from VDOO (https://vdoo.com)
Jung Chan Hyeok
Zhong Zhaochen (http://asnine.com)

Honc 章哲瑜 (https://www.facebook.com/you.toshoot)
Sumit Jain
Ketankumar B. Godhani (https://twitter.com/KBGodhani)
karthickumar (Ramanathapuram)
Alireza Azimzadeh Milani
Taien Wang (https://www.facebook.com/taien.tw)
Frédéric Crozat (http://blog.crozat.net/)
Muhammad Hassaan Khan (https://www.facebook.com/Profile.Hassaan)
SSD/Kacper Szurek
Alexander Drabek (https://www.2-sec.com/)
RAVELA PRAMOD KUMAR (https://mobile.twitter.com/PramodRavela)
Kushal Arvind Shah of Fortinet’s FortiGuard Labs
Alvin Poon (https://alvinpoon.myportfolio.com/)
C.shahidyan, C.Akilan, K.Sai Aswanth
BambooFox (https://bamboofox.github.io/)
Sajibe Kanti (https://twitter.com/sajibekantibd)
Huy Kha (linkedin.com/in/huykha)
Pal Patel (https://www.linkedin.com/in/pal434/)
Pethuraj M (https://www.linkedin.com/in/pethu/)
Ali Ashber (https://www.facebook.com/aliashber7)
Muzammil Abbas Kayani (@muzammilabbas2 )
Tayyab Qadir (facebook.com/tqMr.EditOr)
Babar Khan Akhunzada (www.SecurityWall.co)
Mahad Ahmed (https://octadev.com.pk)
JD Duh (blog.johndoe.tw, www.linkedin.com/in/JD-Duh)
Mubassir Kamdar (http://www.mubassirkamdar.com)
Daniel Díez Tainta (https://twitter.com/danilabs)
Tushar Rawool (twitter.com/tkrawool)
Thrivikram Gujarathi (https://www.linkedin.com/in/thrivikram-gujarathi-certified-ethical-hacker-bug-bounty-hunter-53074796)
Ashish Kunwar (twitter: @D0rkerDevil)
Steven Hampton (Twitter: @Keritzy, https://stevenh.neocities.org/)
Peter Bennink (https://www.linkedin.com/in/peter-bennink/)
Thomas Fady (https://www.linkedin.com/in/thomas-fady/)
Roopak Voleti (https://m.facebook.com/sairoopak.voleti)