Programme de primes de sécurité

À mesure que les menaces évoluent, augmentent et se complexifient, Synology travaille avec des chercheurs en sécurité pour maintenir et consolider nos protections.

Le programme de primes de sécurité de Synology accorde des récompenses financières et de la reconnaissance aux chercheurs qui identifient les vulnérabilités potentielles et collaborent avec nous pour assurer la sécurité de nos clients.

Champ d'application du produit

Ce programme accepte uniquement les rapports de vulnérabilités liés aux produits et services Web de Synology. Les rapports de vulnérabilités qui ne relèvent pas du champ d'application du programme ne donnent généralement pas droit à des récompenses. Cependant, les rapports de vulnérabilités critiques qui ne sont pas concernés sont parfois acceptés en fonction de la situation.

Systèmes d'exploitation

Récompenses jusqu'à 30 000 dollars américains

Récompenses jusqu'à 30 000 dollars américains

Inclut Synology DiskStation Manager et Synology Router Manager.

Logiciels et services cloud C2

Récompenses jusqu'à 10 000 dollars américains

Récompenses jusqu'à 10 000 dollars américains

Inclut les paquets logiciels développés par Synology, les applications mobiles associées et les services cloud C2.

Services Web

Récompenses jusqu'à 5 000 dollars américains

Récompenses jusqu'à 5 000 dollars américains

Inclut tous les principaux services Web Synology.

Systèmes d'exploitation

Récompense

Les rapports qualifiés sont éligibles pour une récompense pouvant atteindre 30 000 dollars américains.*

Produits concernés

Seuls les rapports sur les versions officiellement publiées sont acceptés.

DiskStation Manager (DSM)

  • DSM 6 (dernière version), DSM 7 (dernière version)
  • Paquets installés par défaut

Synology Router Manager (SRM)

  • SRM 1.3 (dernière version)
  • Paquets installés par défaut

Micrologiciel Synology Camera

  • Micrologiciel 1.3 (dernière version)
Réglementations et restrictions

Ce programme est strictement limité aux failles de sécurité détectées dans les produits et services Synology. Les actions susceptibles d'endommager ou d'avoir un impact néfaste sur les serveurs ou les données Synology sont strictement interdites. Les tests de vulnérabilité ne doivent pas enfreindre les lois locales ou taïwanaises.

Les rapports de vulnérabilités ne sont pas acceptés dans le cadre du programme s'ils décrivent ou concernent :

  1. des attaques DoS (déni de service) visant les serveurs de Synology ou les serveurs des utilisateurs ;
  2. des tests de vulnérabilité qui ont une incidence néfaste sur les serveurs de Synology ou les données des utilisateurs ;
  3. des attaques physiques ou manipulations sociales ;
  4. la divulgation d'informations relatives à des bogues sans notre approbation ;
  5. des vulnérabilités non critiques sur des services ou produits obsolètes ;
  6. une vulnérabilité affectant uniquement des navigateurs obsolètes ;
  7. la plupart des attaques par force brute ;
  8. des attaques par script intersites XSS ou attaques Self XSS pris en charge ;
  9. des vulnérabilités qui concernent l'hameçonnage, la création de faux sites Web, ou des actes de fraude ;
  10. des rapports d'analyse de vulnérabilité de fraude qui ne détaillent pas les effets de la vulnérabilité ;
  11. des signes indiquant que les ports par défaut sont vulnérables, mais sans fournir de démonstration de faisabilité.

*Les rapports sur le micrologiciel de la caméra, le LAN SRM et les scripts XSS stockés sont éligibles pour une récompense pouvant atteindre 10 000, 5 000 et 2 600 dollars américains, respectivement.

Logiciels et services cloud C2

Récompense

Les rapports qualifiés sont éligibles pour une récompense pouvant atteindre 10 000 dollars américains.*

Produits concernés

Seuls les rapports sur les versions officiellement publiées sont acceptés.

Paquets

Paquets logiciels développés par Synology

Clients pour poste de travail

Applications Windows, macOS et Linux développées par Synology

Applications mobiles

Applications mobiles développées par Synology pour Android et iOS

Compte Synology

  • *Domaines .account.synology.com
  • *Domaines .identity.synology.com

Services C2

*Domaines c2.synology.com

Réglementations et restrictions

Ce programme est strictement limité aux failles de sécurité détectées dans les produits et services Synology. Les actions susceptibles d'endommager ou d'avoir un impact néfaste sur les serveurs ou les données Synology sont strictement interdites. Les tests de vulnérabilité ne doivent pas enfreindre les lois locales ou taïwanaises.

Les rapports de vulnérabilités ne sont pas acceptés dans le cadre du programme s'ils décrivent ou concernent :

  1. des attaques DoS (déni de service) visant les serveurs de Synology ou les serveurs des utilisateurs ;
  2. des tests de vulnérabilité qui ont une incidence néfaste sur les serveurs de Synology ou les données des utilisateurs ;
  3. des attaques physiques ou manipulations sociales ;
  4. la divulgation d'informations relatives à des bogues sans notre approbation ;
  5. des vulnérabilités non critiques sur des services ou produits obsolètes ;
  6. une vulnérabilité affectant uniquement des navigateurs obsolètes ;
  7. la plupart des attaques par force brute ;
  8. des attaques par script intersites XSS ou attaques Self XSS pris en charge ;
  9. des vulnérabilités qui concernent l'hameçonnage, la création de faux sites Web, ou des actes de fraude ;
  10. des rapports d'analyse de vulnérabilité de fraude qui ne détaillent pas les effets de la vulnérabilité ;
  11. des signes indiquant que les ports par défaut sont vulnérables, mais sans fournir de démonstration de faisabilité.

*Les rapports sur le client de bureau et les scripts XSS stockés (contournement du CSP) sont éligibles pour une récompense pouvant atteindre 5 000 et 1 350 dollars américains, respectivement.

Services Web

Récompense

Les rapports qualifiés sont éligibles pour une récompense pouvant atteindre 5 000 dollars américains.*

Produits concernés

Les domaines suivants (y compris les sous-domaines) sont concernés :

*.synology.com

Les domaines suivants (y compris les sous-domaines) ne sont pas concernés :

openstack-ci-logs.synology.com, router.synology.com, order.synology.com

Synology se réserve le droit de modifier cette liste à tout moment et sans préavis.

Réglementations et restrictions

Ce programme est strictement limité aux failles de sécurité détectées dans les produits et services Synology. Les actions susceptibles d'endommager ou d'avoir un impact néfaste sur les serveurs ou les données Synology sont strictement interdites. Les tests de vulnérabilité ne doivent pas enfreindre les lois locales ou taïwanaises.

Les rapports de vulnérabilités ne sont pas acceptés dans le cadre du programme s'ils décrivent ou concernent :

  1. des attaques DoS (déni de service) visant les serveurs de Synology ou les serveurs des utilisateurs ;
  2. des tests de vulnérabilité qui ont une incidence néfaste sur les serveurs de Synology ou les données des utilisateurs ;
  3. des attaques physiques ou manipulations sociales ;
  4. la divulgation d'informations relatives à des bogues sans notre approbation ;
  5. la traversée de répertoire sur https://*archive.synology.com ;
  6. le téléchargement de fichiers pris en compte (RFD) ;
  7. des problèmes de capture de bannière ou de divulgation de version logicielle ;
  8. la vulnérabilité « zero-day » divulguée sous 90 jours ;
  9. des vulnérabilités non critiques sur des services ou produits obsolètes ;
  10. des vulnérabilités affectant uniquement des navigateurs obsolètes ;
  11. la plupart des attaques par force brute ;
  12. des attaques par script intersites XSS ou attaques Self XSS pris en charge ;
  13. des vulnérabilités qui concernent l'hameçonnage, la création de faux sites Web, ou des actes de fraude ;
  14. des rapports d'analyse de vulnérabilité de fraude qui ne détaillent pas les effets de la vulnérabilité ;
  15. des signes indiquant que les ports par défaut sont vulnérables, mais sans fournir de démonstration de faisabilité

*Les rapports sur les scripts XSS stockés sont éligibles pour une récompense pouvant atteindre 725 dollars américains.

Critères d'éligibilité aux récompenses

Fournissez toutes les informations dont nous avons besoin pour reproduire les problèmes signalés. La taille de chaque récompense dépend de la gravité de la vulnérabilité signalée et de la catégorie de produit concernée.

Pour bénéficier de récompenses financières, les rapports doivent répondre aux critères suivants :

  1. Vous êtes le premier chercheur à signaler cette vulnérabilité.
  2. La vulnérabilité signalée est confirmée comme étant vérifiable, réplicable et un problème de sécurité valide.
  3. Votre rapport est conforme aux conditions et réglementations du programme de primes

Signalement des bogues de sécurité

Si vous pensez avoir identifié une vulnérabilité, suivez les étapes ci-dessous :

Étape 2

Utilisez cette clé PGP pour chiffrer vos informations lors de l'envoi de rapports de bogues à Synology.

Étape 3

Incluez une démonstration de faisabilité détaillée et assurez-vous que les problèmes signalés peuvent être reproduits.

Étape 4

Donnez une description succincte. Par exemple, une courte démonstration de faisabilité est plus appréciée qu'une vidéo expliquant les conséquences d'un problème SSRF.

Vos responsabilités et celles de notre société

Votre rapport

Pour réduire notre temps de traitement, un bon rapport de vulnérabilités doit :

  1. contenir une description détaillée et claire en anglais de la façon de reproduire la vulnérabilité ;
  2. montrer comment la vulnérabilité affecte les produits ou services Web Synology et décrire les versions et plateformes concernées ;
  3. indiquer les dommages potentiels causés par la vulnérabilité signalée.

Notre réponse

L'équipe de sécurité de Synology répondra à votre rapport dans un délai de 7 jours et mettra régulièrement à jour l'état et corrigera la vulnérabilité dès que possible, en fonction de la gravité de la menace existante.

Si votre rapport de vulnérabilités vous donne droit à une récompense financière, votre nom est inscrit sur la page Conseils de sécurité sur les produits Synology de notre site Web officiel pour vous remercier.

Ce processus prend au moins 90 jours. Une fois le processus terminé, votre récompense vous est transférée.

Remarques :

  1. Synology se réserve le droit de modifier ou d'annuler ce programme, notamment ses politiques, à tout moment et sans préavis.

FAQ

Comment dois-je signaler une vulnérabilité ? 

Qui est chargé de déterminer si mon rapport de bogue est éligible à une récompense ?

Quelles sont les conséquences si un bogue est divulgué publiquement avant d'être corrigé ?   

Les vulnérabilités détectées dans les logiciels obsolètes tels qu'Apache ou Nginx sont-elles éligibles à une récompense ?

Puis-je demander que mon nom ne figure pas sur la page Conseils de sécurité de Synology ?

Les vulnérabilités sont-elles toujours éligibles à une récompense si elles sont signalées aux agents en vulnérabilités ?

Dans le cas où un même bogue est signalé par plusieurs personnes, qui est éligible à une prime ?

Remerciements

Nous voudrions remercier les chercheurs et organisations en sécurité qui nous ont aidés.

  • Khoadha from VCSLab of Viettel Cyber Security ( https://viettelcybersecurity.com/)
  • Tim Coen (https://security-consulting.icu/)
  • Mykola Grymalyuk from RIPEDA Consulting
  • Zhao Runzi (赵润梓)
  • Andrea Maugeri (https://www.linkedin.com/in/andreamaugeri)
  • Offensive Security Research @ Ronin (https://ronin.ae/)
  • Nathan (Yama) https://DontClickThis.run
  • Endure Secure (https://endsec.au)
  • Stephen Argent (https://www.runby.coffee/)
  • Qian Chen (@cq674350529) from Codesafe Team of Legendsec at QI-ANXIN Group
  • Jan Kopřiva of Nettles Consulting (https://www.nettles.cz/security/)
  • Andrej Zaujec (https://www.linkedin.com/in/andrej-zaujec-24ba07158/)
  • chumen77 from WeBin Lab of DbappSecurity Co.,Ltd.
  • Bruce Chen (https://twitter.com/bruce30262)
  • aoxsin (https://twitter.com/aoxsin)
  • Armanul Miraz
  • Jaehoon Jang, STEALIEN (https://stealien.com)
  • Jangwoo Choi, HYEONJUN LEE, SoYeon Kim, TaeWan Ha, DoHwan Kim (https://zrr.kr/SWND)
  • Jaehoon Jang, Wonbeen Im, STEALIEN (https://stealien.com)
  • Tomer Goldschmidt and Sharon Brizinov of Claroty Research - Team82
  • Vo Van Thong of GE Security (VNG) (https://www.linkedin.com/in/thongvv3/)
  • Hussain Adnan Hashim (https://www.linkedin.com/in/hussain0x3c)
  • TEAM.ENVY (https://team-envy.gitbook.io/team.envy/about-us)
  • Tim Coen (https://security-consulting.icu)
  • TEAM TGLS (Best of the Best 12th) (https://zrr.kr/SWND)
  • Zhao Runzi (赵润梓)
  • Kevin Wang (https://twitter.com/kevingwn_ )
  • Shubham Kushwaha/ meenakshi Maurya (https://github.com/anabelle666)
  • Safwat Refaat (@Caesar302)
  • Jeffrey Baker (www.Biznet.net)
  • Monisha N (https://www.linkedin.com/in/monisha-nagaraj-321524218/)
  • Ravi (https://twitter.com/itsrvsinghh)
  • remonsec (https://twitter.com/remonsec)
  • TheLabda (https://thelabda.com)
  • Grant Kellie (https://www.linkedin.com/in/grant-kellie-54a23b238/)
  • pulla karthik srivastav (https://www.linkedin.com/in/karthik-srivastav-680359192)
  • Muhammad Tanvir Ahmed https://www.facebook.com/tohidulislam.tanvir.948
  • Eugene Lim, Government Technology Agency of Singapore (https://spaceraccoon.dev)
  • Laurent Sibilla (https://www.linkedin.com/in/lsibilla/)
  • Thomas Werschlein (https://www.linkedin.com/in/thomas-werschlein-2293384b)
  • Sivanesh kumar (https://twitter.com/sivanesh_hacker)
  • Davis Chang. (https://www.linkedin.com/in/hong-tsun-davis-chang/)
  • @aoxsin (https://twitter.com/aoxsin)
  • Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
  • Hasibul Hasan Shawon (@Saiyan0x01)
  • Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
  • Zain Iqbal (https://www.linkedin.com/in/zain-iqbal-971b76254/)
  • Lukas Kupczyk, CrowdStrike Intelligence
  • Tomasz Szczechura (https://www.linkedin.com/in/tomasz-szczechura-5189098b/)
  • Zhao Runzi (赵润梓)
  • Qian Chen (@cq674350529) de l'équipe Codesafe de Legendsec de Qi'anxin Group
  • Patrik Fabian (https://websafe.hu)
  • Eugene Lim, Government Technology Agency of Singapore (https://spaceraccoon.dev)
  • Jeenika Anadani (https://twitter.com/j33n1k4)
  • waterpeitw (https://zeroday.hitcon.org/user/waterpeitw)
  • Milan katwal (https://www.milankatwal.com.np/)
  • N S R de Rooy (https://www.linkedin.com/in/norbert-de-rooy-9b24527/)
  • Christian Tucci (https://www.linkedin.com/in/christian-tucci/)
  • Ravindra Dagale (https://www.linkedin.com/in/ravindra-dagale-5b0913151/)
  • Sanket Anil Ambalkar (https://www.linkedin.com/in/sanket-ambalkar-70211518b/)
  • Chirag Agrawal (https://www.linkedin.com/in/chirag-agrawal-770488144/)
  • Yimi Hu@baidu.com
  • Raman R Mohurle (https://twitter.com/Raman_Mohurle)
  • cmj (http://blog.cmj.tw/)
  • Parth Manek
  • Patrick Williams (https://www.linkedin.com/in/patrick-williams-6992b4104/)
  • Amaranath Moger (https://www.linkedin.com/in/amaranath-moger/)
  • Dennis Herrmann (Code White GmbH)
  • Siddharth Parashar (https://www.linkedin.com/in/siddharth-parashar-b2a21b1b5/)
  • Sahil Soni (https://twitter.com/sahil__soni_18?s=08)
  • Hasibul Hasan Shawon -[Sec Miner's Bangladesh]
  • Devender Rao (https://www.linkedin.com/in/devender-rao)
  • RAJIB BAR (https://www.linkedin.com/in/rajib-bar-rjb-b3683314b)
  • Atharv Shejwal (https://kongsec.io)
  • Xavier DANEST (https://sustainability.decathlon.com/)
  • Aditya Shende (http://kongsec.io)
  • Andreas Rothenbacher (https://error401.de)
  • Rachit Verma @b43kd00r (https://www.linkedin.com/in/b43kd00r/)
  • Suraj SK (https://www.linkedin.com/in/suraj-sk/)
  • Simon Effenberg (https://www.linkedin.com/in/simon-effenberg)
  • Niraj Mahajan (https://www.linkedin.com/in/niraj1mahajan)
  • Ayush Pandey (https://www.linkedin.com/in/ayush-pandey-148797175)
  • Sivanesh kumar D (https://twitter.com/sivanesh_hacker?s=09)
  • Touhid Shaikh (https://securityium.com/)
  • N Krishna Chaitanya (https://www.linkedin.com/in/n-krishna-chaitanya-27926aba/)
  • Ayush Mangal (https://www.linkedin.com/in/ayush-mangal-48a168110)
  • Tameem Khalid (https://www.linkedin.com/in/tameem-khalid-641a4b192/)
  • ddaa de TrapaSecurity (https://twitter.com/0xddaa)
  • Praveen Kumar
  • Oscar Spierings (https://polyform.dev)
  • Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
  • Swings of Chaitin Security Research Lab
  • Hasibul Hasan Rifat (https://twitter.com/rifatsec)
  • Lanni
  • Yeshwanth (https://www.linkedin.com/in/yeshwanth-b-4a560b202)
  • Darshan Sunil jogi (https://www.linkedin.com/in/darshan-jogi-9450431b6/)
  • Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
  • Lanni
  • Swapnil Patil (https://www.linkedin.com/in/swapnil-patil-874223195)
  • Vladislav Akimenko (sécurité numérique) (https://dsec.ru)
  • Muhammad Junaid Abdullah (https://twitter.com/an0n_j)
  • Claudio Bozzato de Cisco Talos (https://talosintelligence.com/vulnerability_reports/)
  • Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
  • Aditya Soni (https://www.linkedin.com/in/adtyasoni)
  • Mansoor Amjad (https://twitter.com/TheOutcastCoder)
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady)
  • James Smith (Bridewell Consulting) (https://bridewellconsulting.com)
  • Kinshuk Kumar (https://www.linkedin.com/in/kinshuk-kumar-4833551a1/)
  • Amit Kumar (https://www.linkedin.com/in/amit-kumar-9853731a4)
  • Mehedi Hasan Remon (twitter.com/remonsec)
  • Joshua Olson (www.linkedin.com/in/joshua-olson-cysa)
  • Vaibhav Rajeshwar Atkale(https://twitter.com/atkale_vaibhav)
  • Mohammed Eldawody (www.fb.com/eldawody0)
  • YoKo Kho (https://twitter.com/YoKoAcc)
  • Satyajit Das (https://www.linkedin.com/in/mrsatyajitdas)
  • Tinu Tomy (https://twitter.com/tinurock007)
  • Aniket Bhutani (https://www.linkedin.com/in/aniket-bhutani-6ba979192/)
  • Anurag Muley (https://www.linkedin.com/in/ianuragmuley/)
  • Howard Ching (https://www.linkedin.com/in/howard-ching-rhul/)
  • Janmejaya Swain (https://www.linkedin.com/in/janmejayaswainofficial)
  • Ahmad Firmansyah (https://twitter.com/AhmdddFsyaaah)
  • Agrah Jain (www.linkedin.com/in/agrahjain)
  • Shivam Kamboj Dattana (https://www.linkedin.com/in/sechunt3r/)
  • Pratik Vinod Yadav (https://twitter.com/PratikY9967)
  • Akshaykumar Kokitkar (https://mobile.twitter.com/cyber_agent2)
  • Shesha Sai C (https://www.linkedin.com/in/shesha-sai-c-18585b125)
  • Yash Agarwal (https://www.linkedin.com/in/yash-agarwal-17464715b)
  • Jan KOPEC(https://twitter.com/blogresponder)
  • Denis Burtanović
  • Hasibul Hasan Shawon -[Sec Miner's Bangladesh]
  • R Atik Islam (https://www.facebook.com/atik.islam.14661)
  • Jose Israel Nadal Vidal (https://twitter.com/perito_inf)
  • Thomas Grünert (https://de.linkedin.com/in/thomas-gr%C3%BCnert-250905168)
  • Matteo Bussani (https://www.linkedin.com/in/matteo-bussani-77b595198/)
  • Bing-Jhong Jheng (https://github.com/st424204/ctf_practice)
  • Swapnil Patil (https://www.linkedin.com/in/swapnil-patil-874223195)
  • Prakash Kumar Parthasarathy (https://www.linkedin.com/in/prakashofficial)
  • Kitab Ahmed (www.ahmed.science)
  • Ahmad Firmansyah (https://twitter.com/AhmdddFsyaaah)
  • Tiziano Di Vincenzo (https://www.linkedin.com/in/tiziano-d-3324a345/)
  • Pratik Vinod Yadav (https://www.linkedin.com/in/pratik-yadav-117463149)
  • Diwakar Kumar (https://www.linkedin.com/in/diwakar-kumar-5b3843114/)
  • Rushi Gayakwad
  • Yash Ahmed Quashim (https://www.facebook.com/abir.beingviper)
  • Swapnil Kothawade (https://twitter.com/Swapnil_Kotha?s=09)
  • Ankit Kumar (https://www.linkedin.com/in/ankit-kumar-42a644166/)
  • Aman Rai (https://www.linkedin.com/in/aman-rai-737a19146)
  • Rushikesh Gaikwad (https://www.linkedin.com/in/rushikesh-gaikwad-407163171)
  • Rupesh Tanaji Kokare (https://www.linkedin.com/in/rupesh-kokare-b63a78145/)
  • Sumit Jain (https://twitter.com/sumit_cfe)
  • Qian Chen de Qihoo 360 Nirvan Team
  • Vishal Vachheta (https://www.linkedin.com/in/vishal-vachheta-a30863122)
  • Zhong Zhaochen
  • Tomasz Grabowski
  • Nightwatch Cybersecurity Research (https://wwws.nightwatchcybersecurity.com)
  • Safwat Refaat (https://twitter.com/Caesar302)
  • Agent22 (https://securelayer7.net/)
  • Hsiao-Yung Chen
  • Rich Mirch (https://blog.mirch.io)
  • Ronak Nahar (https://www.linkedin.com/in/naharronak/)
  • Noman Shaikh (https://twitter.com/nomanAli181)
  • David Deller (https://horizon-nigh.org)
  • Mehedi Hasan (SecMiners BD) (https://www.facebook.com/polapan.1337)
  • Touhid M Shaikh (https://touhidshaikh.com)
  • Abhishek Gaikwad
  • Kitabuddin Ahmed
  • Noman Shaikh (https://twitter.com/nomanAli181)
  • Ajit Sharma (https://www.linkedin.com/in/ajit-sharma-90483655)
  • Agung Saputra Ch Lages (https://twitter.com/lagesgeges)
  • Dan Thomsen (www.thomsen.fo)
  • Erik de Jong (https://eriknl.github.io)
  • Sphinx 1,2 (https://www.facebook.com/Sphinx01.10/)
  • AHMED ELSADAT (https://www.linkedin.com/in/ahmed-elsadat-138755133/)
  • Hasibul Hasan (SecMiner)
  • Mohammed Eldawody (www.fb.com/eldawody0)
  • Chris Schneider
  • Abdullah Fares Muhanna (https://www.facebook.com/AbedullahFares)
  • Nick Blyumberg (https://www.linkedin.com/in/nickblyumberg/)
  • Axel Peters
  • Muhammad Junaid Abdullah (https://twitter.com/an0n_j)
  • Kyle Green
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady)
  • Dankel Ahmed (https://hackerone.com/kitab)
  • ShuangYY
  • HackTrack Security
  • Muhammed Ashmil K K (Kavuthukandiyil)
  • Muhammad Junaid Abdullah (https://twitter.com/snoviboy)
  • Kishan kumar (https://facebook.com/noobieboy007)
  • Lays (http://l4ys.tw)
  • Ashish Kumar (https://www.facebook.com/buggyashish)
  • Lakshay Gupta (http://linkedin.com/in/lakshay-gupta-44102a143)
  • Meng-Huan Yu (https://www.linkedin.com/in/cebrusfs/)
  • Ifrah Iman (http://www.ifrahiman.com)
  • Mohammed Israil (https://www.facebook.com/VillageLad, https://www.linkedin.com/in/mohammed-israil-221656128)
  • Taien Wang (https://www.linkedin.com/in/taienwang/)
  • Emad Shanab (@Alra3ees) (https://twitter.com/Alra3ees?s=09)
  • குகன் ராஜா (Havoc Guhan) (https://fb.com/havocgwen)
  • Yasser Gersy (https://twitter.com/yassergersy)
  • Ismail Tasdelen (https://www.linkedin.com/in/ismailtasdelen)
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady)
  • Oliver Kramer (https://www.linkedin.com/in/oliver-kramer-670206b5)
  • 1N3@CrowdShield (https://crowdshield.com)
  • louys, Xie Wei (解炜), Li Yanlong (李衍龙)
  • Zuo Chaoshun (https://www.linkedin.com/in/chaoshun-zuo-5b9559111/)
  • Ali Razzaq (https://twitter.com/AliRazzaq_)
  • 丁諭祺(Yu-Chi Ding) from DEVCORE CHROOT
  • Alex Weber (www.broot.ca)
  • Alex Bastrakov (https://twitter.com/kazan71p)
  • Mehidia Tania (https://www.beetles.io)
  • freetsubasa (https://twitter.com/freetsubasa)
  • Łukasz Rutkowski (http://www.forit.pl/)
  • Maximilian Tews (www.linkedin.com/in/maximilian-tews)
  • Bryan Galao (https://www.facebook.com/xbryan.galao)
  • Jim Zhou (vip-cloud.cn)
  • Chun Han Hsiao
  • Nightwatch Cybersecurity Research (https://wwws.nightwatchcybersecurity.com)
  • Olivier Bédard
  • Mohamed Eldawody (https://www.facebook.com/Eldawody0)
  • Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
  • 郑吉宏通过 GeekPwn 平台提交
  • Independent Security Evaluators (ISE) labs
  • Chercheur indépendant en sécurité, MengHuan Yu, a signalé cette vulnérabilité au programme SecuriTeam Secure Disclosure de Beyond Security
  • B.Dhiyaneshwaran (https://www.linkedin.com/in/dhiyaneshwaran-b-27947a131/)
  • Freiwillige Feuerwehr Rohrbach (www.ff-rohrbach.de)
  • Uriya Yavnieli from VDOO (https://vdoo.com)
  • Jung Chan Hyeok
  • Zhong Zhaochen (http://asnine.com)
  • Honc 章哲瑜 (https://www.facebook.com/you.toshoot)
  • Sumit Jain
  • Ketankumar B. Godhani (https://twitter.com/KBGodhani)
  • karthickumar (Ramanathapuram)
  • Alireza Azimzadeh Milani
  • Taien Wang (https://www.facebook.com/taien.tw)
  • Frédéric Crozat (http://blog.crozat.net/)
  • Muhammad Hassaan Khan (https://www.facebook.com/Profile.Hassaan)
  • SSD/Kacper Szurek
  • Alexander Drabek (https://www.2-sec.com/)
  • RAVELA PRAMOD KUMAR (https://mobile.twitter.com/PramodRavela)
  • Kushal ARVIND Shah de FortiGuard Labs de Fortinet
  • Alvin Poon (https://alvinpoon.myportfolio.com/)
  • C.shahidyan, C.Akilan, K.Sai Aswanth
  • BambooFox (https://bamboofox.github.io/)
  • Sajibe Kanti (https://twitter.com/sajibekantibd)
  • Huy Kha (linkedin.com/in/huykha)
  • Pal Patel (https://www.linkedin.com/in/pal434/)
  • Pethuraj M (https://www.linkedin.com/in/pethu/)
  • Ali Ashber (https://www.facebook.com/aliashber7)
  • Muzammil Abbas Kayani (@muzammilabbas2 )
  • Tayyab Qadir (facebook.com/tqMr.EditOr)
  • Babar Khan Akhunzada (www.SecurityWall.co)
  • Mahad Ahmed (https://octadev.com.pk)
  • JD Duh (blog.johndoe.tw, www.linkedin.com/in/JD-Duh)
  • Mubassir Kamdar (http://www.mubassirkamdar.com)
  • Daniel Díez Tainta (https://twitter.com/danilabs)
  • Tushar Rawool (twitter.com/tkrawool)
  • Thrivikram Gujarathi (https://www.linkedin.com/in/thrivikram-gujarathi-certified-ethical-hacker-bug-bounty-hunter-53074796)
  • Ashish Kunwar (twitter : @D0rkerDevil)
  • Steven Hampton (Twitter : @Keritzy, https://stevenh.neocities.org/)
  • Peter Bennink (https://www.linkedin.com/in/peter-bennink/)
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady/)
  • Roopak Voleti (https://m.facebook.com/sairoopak.voleti)