Säkerhets Bug Bounty-program
Eftersom hoten utvecklas och ökar både i frekvens och sofistikation, arbetar Synology med säkerhetsforskare för att upprätthålla och ytterligare stärka våra skydd.
ProduktomfångDetta program accepterar endast sårbarhetsrapporter relaterade till Synologys produkter och webbtjänster. Sårbarhetsrapporter som faller utanför programmets omfattning kvalificerar generellt inte för belöningar; dock kan rapporter om kritiska sårbarheter utanför omfattningen accepteras beroende på situationen.

Operativsystem

Belöningar på upp till

30000

Inkluderar Synology DiskStation Manager, Synology Router Manager och Synology BeeStation.

Få reda på mer

Mjukvara och C2 molntjänster

Belöningar på upp till

10000

Inkluderar Synology-utvecklade mjukvarupaket, relaterade mobilappar och C2 molntjänster.

Få reda på mer

Web tjänster

Belöningar på upp till

5000

Inkluderar alla större Synology webbtjänster.

Få reda på mer
Belöningsdetaljer
Kriterier för belöningsberättigande
Vänligen tillhandahåll all information vi behöver för att reproducera de rapporterade problemen. Storleken på varje belöning beror på allvaret i den rapporterade sårbarheten och vilken produktkategori som påverkas.För att kvalificera sig för monetära belöningar måste rapporterna uppfylla följande kriterier:
  1. Belöningar ges till den första giltiga rapporten om en tidigare okänd och opublicerad sårbarhet
  2. Den rapporterade sårbarheten är bekräftad att vara verifierbar, replikerbar och ett giltigt säkerhetsproblem
  3. Din rapport följer Bounty Programs villkor och regler
Rapportering av säkerhetsbuggarOm du tror att du har hittat en sårbarhet, följ stegen nedan:
Steg 1

Kontakta oss via kontaktformuläret för Bounty-programmet.

Steg 2

Använd denna PGP-nyckel för att kryptera din information när du skickar felrapporter till Synology.

Steg 3

Inkludera ett detaljerat Proof of Concept (PoC) och se till att de rapporterade problemen kan reproduceras.

Steg 4

Håll din beskrivning koncis. Till exempel är en kort proof-of-concept-länk mer värderad än en video som förklarar konsekvenserna av ett SSRF-problem.

Ditt och vårt ansvarDin rapportFör att minska vår behandlingstid bör en bra sårbarhetsrapport:
  1. Innehålla en tydligt skriven steg-för-steg-beskrivning på engelska om hur sårbarheten kan reproduceras
  2. Demonstrera hur sårbarheten påverkar Synology-produkter eller webbtjänster och beskriva vilka versioner och plattformar som påverkas
  3. Ange den potentiella skadan som orsakas av den rapporterade sårbarheten
Vårt svar
Synology Security Team kommer att svara på din rapport inom 7 dagar och regelbundet uppdatera statusen och åtgärda sårbarheten så snart som möjligt, beroende på hotets allvarlighetsgrad.Om din sårbarhetsrapport kvalificerar för en monetär belöning, kommer ditt namn att listas på Säkerhetsnotiser från Synology -sidan på vår officiella webbplats som en gest av vår uppskattning.Denna process kommer att ta minst 90 dagar. Din belöning kommer att överföras till dig vid slutförandet av processen.
Obs:Synology förbehåller sig rätten att ändra eller avbryta detta program, inklusive dess policyer, när som helst utan föregående meddelande.
Operativsystem
Belöning

Kvalificerade rapporter är berättigade till en belöning på upp till 30 000 US-dollar.*

Produkter inom omfattningen

Endast rapporter om officiellt släppta versioner accepteras.

DiskStation Manager (DSM)

  • DSM 7 (senaste versionen)

Synology Router Manager (SRM)

  • SRM 1.3 (senaste versionen)

Synology Camera firmware

  • Firmware 1.1 (senaste versionen)

Synology BeeStation

  • BeeStation OS 1.0 (senaste versionen)
Regler och restriktioner

Detta program är strikt begränsat till säkerhetssårbarheter som finns i Synology-produkter och tjänster. Åtgärder som potentiellt kan skada eller negativt påverka Synology-servrar eller data är strikt förbjudna. Sårbarhetstestning får inte bryta mot lokala eller taiwanesiska lagar.

Sårbarhetsrapporter accepteras inte under programmet om de beskriver eller involverar:

  1. DoS (Denial of Service)-attacker mot Synologys eller användares servrar
  2. Sårbarhetstester som är skadliga för Synologys eller användares servrar eller data
  3. Fysiska attacker eller social ingenjörskonst
  4. Avslöjande av bugginformation innan godkännande av Synology
  5. Icke-kritiska sårbarheter i föråldrade tjänster eller produkter
  6. Sårbarheter som endast påverkar föråldrade webbläsare
  7. De flesta typer av brute-force-attacker
  8. Reflekterade XSS-attacker eller själv-XSS-attacker
  9. Sårbarheter som involverar phishing, skapande av falska webbplatser eller bedrägeri
  10. Rapporter om sårbarhetsskanning som inte detaljerar sårbarhetens effekter
  11. Indikationer på att standardportar är sårbara, men utan att tillhandahålla en PoC
  12. Teoretiska sårbarheter som saknar konkret Proof of Concept (PoC)
  13. Öppna omdirigeringar anses vanligtvis vara informativa och kvalificerar inte för belöningar om de inte bidrar till en mer betydande sårbarhet
  14. Saknade säkerhetshuvuden som inte direkt leder till exploatering
  15. Saknade säkerhetsflaggor i cookies
  16. Användaruppräkning. Rapporter som beskriver användaruppräkning är inte inom omfånget om du inte kan visa att vi inte har några hastighetsgränser för att skydda våra användare.
*Se sidan för belöningsdetaljer på webbsidan för Säkerhetsbuggprogrammet för mer information.
**Den maximala belöningen för sårbarheter i SRM_LAN är $5,000.
***Den maximala belöningen för sårbarheter i kamerans firmware är $10,000.
Mjukvara och C2 molntjänster
Belöning

Kvalificerade rapporter är berättigade till en belöning på upp till 10 000 US-dollar.*

Produkter inom omfattningen

Endast rapporter om officiellt släppta versioner accepteras.

Paket

Synology-utvecklade mjukvarupaket

Skrivbordsklienter

Synology-utvecklade applikationer för Windows, macOS och Linux

Mobila appar

Synology-utvecklade mobila appar för Android och iOS

Synology-konto

  • *.account.synology.com domäner
  • *.identity.synology.com domäner

C2-tjänster

*.c2.synology.com domäner

Regler och restriktioner

Detta program är strikt begränsat till säkerhetssårbarheter som hittas i Synology-produkter och tjänster. Handlingar som potentiellt kan skada eller skada Synology-servrar eller data är strikt förbjudna. Sårbarhetstester får inte bryta mot lokala eller taiwanesiska lagar.

Sårbarhetsrapporter accepteras inte under programmet om de beskriver eller involverar:

  1. DoS (Denial of Service)-attacker mot Synologys eller användares servrar
  2. Sårbarhetstester som är skadliga för Synologys eller användares servrar eller data
  3. Fysiska attacker eller social ingenjörskonst
  4. Avslöjande av bugginformation innan godkännande av Synology
  5. Icke-kritiska sårbarheter i föråldrade tjänster eller produkter
  6. Sårbarheter som endast påverkar föråldrade webbläsare
  7. De flesta typer av brute-force-attacker
  8. Reflekterade XSS-attacker eller själv-XSS-attacker
  9. Sårbarheter som involverar phishing, skapande av falska webbplatser eller bedrägeri
  10. Rapporter om sårbarhetsskanning som inte detaljerar sårbarhetens effekter
  11. Indikationer på att standardportar är sårbara, men utan att tillhandahålla en PoC
  12. Teoretiska sårbarheter som saknar konkret Proof of Concept (PoC)
  13. Öppna omdirigeringar anses vanligtvis vara informativa och kvalificerar inte för belöningar om de inte bidrar till en mer betydande sårbarhet
  14. Saknade säkerhetshuvuden som inte direkt leder till exploatering
  15. Saknade säkerhetsflaggor i cookies
  16. Användaruppräkning. Rapporter som beskriver användaruppräkning är inte inom omfånget om du inte kan visa att vi inte har några hastighetsgränser för att skydda våra användare.
*Se sidan för belöningsdetaljer på webbsidan för säkerhetsbuggprogrammet för mer information.
Web tjänster
Belöning

Kvalificerade rapporter är berättigade till en belöning på upp till 5 000 US-dollar.*

Produkter inom omfattningen

Endast *.synology.com-domäner omfattas, med undantag för openstack-ci-logs.synology.com, router.synology.com och ask.synology.com.

Synology förbehåller sig rätten att ändra denna lista när som helst utan förvarning.

Regler och restriktioner

Detta program är strikt begränsat till säkerhetsbrister som hittas i Synologys produkter och tjänster. Åtgärder som potentiellt kan skada eller ha en skadlig effekt på Synologys servrar eller data är strikt förbjudna. Sårbarhetstestning får inte bryta mot lokala eller taiwanesiska lagar.

Sårbarhetsrapporter accepteras inte inom programmet om de beskriver eller involverar:

  1. DoS (Denial of Service) attacker mot Synologys eller användares servrar
  2. Sårbarhetstestning som är skadlig för Synologys eller användares servrar eller data
  3. Fysiska attacker eller social manipulation
  4. Avslöjande av bugginformation innan godkännande av Synology
  5. Katalogtraversal på https://*archive.synology.com
  6. Reflekterad filnedladdning
  7. Banner grabbing-problem eller avslöjande av programvaruversion
  8. 0-dagars sårbarhet avslöjad inom 90 dagar
  9. Icke-kritiska sårbarheter i föråldrade tjänster eller produkter
  10. Sårbarheter som endast påverkar föråldrade webbläsare
  11. De flesta typer av brute-force attacker
  12. Reflekterade XSS-attacker eller Self XSS-attacker
  13. Sårbarheter som involverar phishing, skapande av falska webbplatser eller bedrägeri
  14. Sårbarhetsskanningsrapporter som inte detaljerar sårbarhetens effekter
  15. Indikationer på att standardportar är sårbara, men utan att tillhandahålla en PoC
  16. Teoretiska sårbarheter som saknar konkret Proof of Concept (PoC)
  17. Öppna omdirigeringar anses vanligtvis vara informativa och kvalificerar inte för belöningar om de inte bidrar till en mer betydande sårbarhet
  18. Saknade säkerhetshuvuden som inte direkt leder till exploatering
  19. Saknade säkerhetsflaggor i cookies
  20. Användaruppräkning. Rapporter som beskriver användaruppräkning är inte inom omfattningen om du inte kan visa att vi inte har några hastighetsgränser på plats för att skydda våra användare.
*Se sidan för belöningsdetaljer på webbsidan för säkerhetsbuggprogrammet för mer information.
Belöningsdetaljer
Denna sida är utformad för att hjälpa forskare att förstå de potentiella maximala belöningarna för specifika typer av sårbarheter och att belysa de typer av sårbarheter som Synology värderar mest. Vi värderar dina bidrag och är dedikerade till att rättvist belöna betydande säkerhetsforskning.Belöningarna i tabellen visar det maximala möjliga för varje kategori, men inte varje kvalificerad rapport garanteras att få det listade beloppet.*
Kritisk
OperativsystemProgramvara och C2 molntjänsterWeb tjänster
Zero-click pre-auth RCE$30,000$10,000$5,000
Zero-click pre-auth arbitrary file r/w$9,000$4,600$2,400
Viktig
OperativsystemProgramvara och C2 molntjänsterWeb tjänster
1-click pre-auth RCE$8,000$4,000$2,000
Zero-click normal-user-auth RCE$7,500$3,900$1,900
Zero-click normal-user-auth arbitrary file r/w$6,500$3,400$1,700
Zero-click pre-auth RCE (AC:H)$6,500$3,400$1,700
1-click pre-auth RCE (AC:H)$5,000$2,500$1,325
pre-auth SQL injection$3,800$1,950$1,025
1-click normal-user-auth RCE (AC:H)$2,600$1,350$725
pre-auth stored XSS$2,600$1,350$725
Måttlig
OperativsystemProgramvara och C2 molntjänsterWeb tjänster
normal-user-auth stored XSS$1,350$733$417
normal-user-auth SQL injection$1,200$607$353
admin-auth vulnerabilities$100$100$100
  1. Från och med den 1 oktober 2024 kommer belöningar för admin-auth sårbarheter att sättas till $100 USD.
  2. För Desktop Clients, om CVSS-vektorn inkluderar något av följande, sätts belöningen till $100 USD:
    • AV:L
    • AV:A
    • AV:N/AC:H

Obs:

  • Observera att även om riktlinjer för belöningar tillhandahålls, behandlas varje rapport individuellt och utvärderas noggrant. Poängsättningen tar hänsyn till olika faktorer, inklusive men inte begränsat till omfånget som detaljeras i belöningsmatrisen. Synology förbehåller sig rätten till slutlig tolkning av beloppen.
  • För frågor som klassificeras som låg allvarlighetsgrad eller förslag kommer endast bekräftelser att ges.
Frågor och svarHur ska jag rapportera en sårbarhet?Vänligen tillhandahåll en detaljerad PoC (Proof of Concept) och se till att de rapporterade problemen kan reproduceras. Använd denna PGP-nyckelkryptering erbjuden av Synology när du skickar bugg rapporter till oss och avslöja inte relevant information till någon tredje part.Vem är ansvarig för att avgöra om min bugg rapport är berättigad till en belöning?Alla bugg rapporter granskas och utvärderas av Synology Security Team, som består av Synologys seniora säkerhetsanalytiker.Vad är konsekvensen om en bugg offentliggörs innan den åtgärdas?Vi strävar efter att svara på bugg rapporter omgående och åtgärda dem inom en rimlig tidsperiod. Vänligen meddela oss i förväg innan du offentligt avslöjar bugg informationen. Alla bugg avslöjanden som inte följer denna princip kommer inte att kvalificera för en belöning.Är sårbarheter som finns i föråldrad programvara som Apache eller Nginx berättigade till en belöning?Vänligen identifiera sårbarheterna i programvaran och förklara varför du misstänker att de är skadliga för programvarans användning. Rapporter som utelämnar denna typ av information är vanligtvis inte kvalificerade för en belöning.Kan jag begära att mitt namn inte listas på Synologys Säkerhetsrådgivningssida?Ja. Du kan begära att inte listas på vår Säkerhetsrådgivningssida. Men om du är kvalificerad för en belöning och önskar acceptera den, behöver vi fortfarande din kontaktinformation för att behandla betalningen.Är sårbarheter fortfarande berättigade till en belöning om de rapporteras till sårbarhetsmäklare?Att privat avslöja en sårbarhet för tredje part i syfte annat än buggfixning strider mot andan i vårt program. Därför kommer sådana rapporter inte att kvalificera för en belöning.Vem är berättigad till en belöning om samma bugg rapporteras av fler än en person?Belöningen ges till den första personen som upptäcker en sårbarhet som tidigare var okänd för oss.
ErkännandeVi vill ge en hattknäpp till säkerhetsforskare och organisationer som har hjälpt oss.
  • David Oxley
  • Abdelali Chekiel
  • Sahil Shah (https://www.linkedin.com/in/sahilshah3276/)
  • @sunscan@infosec.exchange
  • Mehedi Hasan (SecMiners BD) https://www.facebook.com/polapain.1337/
  • Philipp Tekeser-Glasz from HvS-Consulting GmbH (https://www.hvs-consulting.de)
  • Jesse Walker (IBM NS1 Connect)
  • Aron Binoy (https://www.instagram.com/aron_binoy)
  • dungnm with VCS Lab from Viettel Cyber Security
  • Sandro Poppi (https://medium.com/@spoppi)
  • Warisse Valentin (Aytio)
  • Nancy Chang
  • Yannik Marchand (https://reversing.live)
  • Andreas Rothenbacher (error401.de)
  • Simon Baaske (Serviceware)
  • Yash Vilas Chavhan (https://www.linkedin.com/in/yash-chavhan-a87a58205)
  • Alex Plaskett of NCC Group (https://www.nccgroup.com/)
  • aoxsin (https://x.com/aoxsin)
  • Sheikh Rishad (https://x.com/sheikhrishad0)
  • Noorsyaf zati il aqmar (https://bountyproofs.com/)
  • Deep Ghusani
  • Dalia Ibrahim ( https://www.linkedin.com/in/dalia-ibrahim-64b81a19a/ )
  • Jérémie Jacquand
  • Ha The Long (LongHT) and Nguyen Ba Nam Dung (ShortBNB)
  • Abhijit Chakrabarty ( https://www.linkedin.com/in/abhijit-chakrabarty-54469a28b/ )
  • Muhammed  Al-Hijazi
  • Khoadha from VCSLab of Viettel Cyber Security ( https://viettelcybersecurity.com/)
  • Tim Coen (https://security-consulting.icu/)
  • Mykola Grymalyuk from RIPEDA Consulting
  • Zhao Runzi (赵润梓)
  • Andrea Maugeri (https://www.linkedin.com/in/andreamaugeri)
  • Offensive Security Research @ Ronin (https://ronin.ae/)
  • Nathan (Yama) https://DontClickThis.run
  • M Tayyab Iqbal (www.alphainferno.com)
  • Only Hack in Cave (tr4ce(Jinho Ju), neko_hat(Dohwan Kim), tw0n3(Han Lee), Hc0wl(GangMin Kim)) (https://github.com/Team-OHiC)
  • Wonbeen Im, STEALIEN (https://stealien.com)
  • 赵润梓、李建申(https://lsr00ter.github.io)
  • Cheripally Sathwik (https://www.instagram.com/ethical_hacker_sathwik)
  • Steven Lin (https://x.com/5teven1in)
  • Qian Chen (@cq674350529) from Codesafe Team of Legendsec at QI-ANXIN Group
  • Mohd Ali (revengerali)
  • Orange Tsai (@orange_8361) from DEVCORE Research Team
  • Bocheng Xiang with FDU(@crispr)
  • HANRYEOL PARK, HYOJIN LEE, HYEOKJONG YUN, HYEONJUN LEE, DOWON KWAK, ZIEN (https://zi-en.io/)
  • Hydrobikz (https://www.linkedin.com/in/bikash-)
  • Can Acar (https://imcan.dev)
  • Yves Bieri of Compass Security (https://www.compass-security.com)
  • DEVCORE Research Team (https://devco.re/)
  • aoxsin (https://twitter.com/aoxsin)
  • Josh "JD" Byrnes (https://jd.byrnes.au/)
  • Chanin Kim of ENKI Whitehat
  • Endure Secure (https://endsec.au)
  • Stephen Argent (https://www.runby.coffee/)
  • Qian Chen (@cq674350529) from Codesafe Team of Legendsec at QI-ANXIN Group
  • Jan Kopřiva of Nettles Consulting (https://www.nettles.cz/security/)
  • Andrej Zaujec (https://www.linkedin.com/in/andrej-zaujec-24ba07158/)
  • chumen77 from WeBin Lab of DbappSecurity Co.,Ltd.
  • Bruce Chen (https://twitter.com/bruce30262)
  • aoxsin (https://twitter.com/aoxsin)
  • Armanul Miraz
  • Jaehoon Jang, STEALIEN (https://stealien.com)
  • Jangwoo Choi, HYEONJUN LEE, SoYeon Kim, TaeWan Ha, DoHwan Kim (https://zrr.kr/SWND)
  • Jaehoon Jang, Wonbeen Im, STEALIEN (https://stealien.com)
  • Tomer Goldschmidt and Sharon Brizinov of Claroty Research - Team82
  • Vo Van Thong of GE Security (VNG) (https://www.linkedin.com/in/thongvv3/)
  • Hussain Adnan Hashim (https://www.linkedin.com/in/hussain0x3c)
  • TEAM.ENVY (https://team-envy.gitbook.io/team.envy/about-us)
  • Tim Coen (https://security-consulting.icu)
  • TEAM TGLS (Best of the Best 12th) (https://zrr.kr/SWND)
  • Zhao Runzi (赵润梓)
  • Kevin Wang (https://twitter.com/kevingwn_ )
  • Shubham Kushwaha/ meenakshi Maurya (https://github.com/anabelle666)
  • Safwat Refaat (@Caesar302)
  • Jeffrey Baker (www.Biznet.net)
  • Monisha N (https://www.linkedin.com/in/monisha-nagaraj-321524218/)
  • Ravi (https://twitter.com/itsrvsinghh)
  • remonsec (https://twitter.com/remonsec)
  • TheLabda (https://thelabda.com)
  • Grant Kellie (https://www.linkedin.com/in/grant-kellie-54a23b238/)
  • pulla karthik srivastav (https://www.linkedin.com/in/karthik-srivastav-680359192)
  • Muhammad Tanvir Ahmed https://www.facebook.com/tohidulislam.tanvir.948
  • Eugene Lim, Government Technology Agency of Singapore (https://spaceraccoon.dev)
  • Laurent Sibilla (https://www.linkedin.com/in/lsibilla/)
  • Thomas Werschlein (https://www.linkedin.com/in/thomas-werschlein-2293384b)
  • Sivanesh kumar (https://twitter.com/sivanesh_hacker)
  • Davis Chang. (https://www.linkedin.com/in/hong-tsun-davis-chang/)
  • @aoxsin (https://twitter.com/aoxsin)
  • Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
  • Hasibul Hasan Shawon (@Saiyan0x01)
  • Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
  • Zain Iqbal (https://www.linkedin.com/in/zain-iqbal-971b76254/)
  • Lukas Kupczyk, CrowdStrike Intelligence
  • Tomasz Szczechura (https://www.linkedin.com/in/tomasz-szczechura-5189098b/)
  • Zhao Runzi (赵润梓)
  • Qian Chen (@cq674350529) from Codesafe Team of Legendsec at Qi'anxin Group
  • Patrik Fabian (https://websafe.hu)
  • Eugene Lim, Government Technology Agency of Singapore (https://spaceraccoon.dev)
  • Jeenika Anadani (https://twitter.com/j33n1k4)
  • waterpeitw (https://zeroday.hitcon.org/user/waterpeitw)
  • Milan katwal (https://www.milankatwal.com.np/)
  • N S R de Rooy (https://www.linkedin.com/in/norbert-de-rooy-9b24527/)
  • Christian Tucci (https://www.linkedin.com/in/christian-tucci/)
  • Ravindra Dagale (https://www.linkedin.com/in/ravindra-dagale-5b0913151/)
  • Sanket Anil Ambalkar (https://www.linkedin.com/in/sanket-ambalkar-70211518b/)
  • Chirag Agrawal (https://www.linkedin.com/in/chirag-agrawal-770488144/)
  • Yimi Hu@baidu.com
  • Raman R Mohurle (https://twitter.com/Raman_Mohurle)
  • cmj (http://blog.cmj.tw/)
  • Parth Manek
  • Patrick Williams (https://www.linkedin.com/in/patrick-williams-6992b4104/)
  • Amaranath Moger (https://www.linkedin.com/in/amaranath-moger/)
  • Dennis Herrmann (Code White GmbH)
  • Siddharth Parashar (https://www.linkedin.com/in/siddharth-parashar-b2a21b1b5/)
  • Sahil Soni (https://twitter.com/sahil__soni_18?s=08)
  • Hasibul Hasan Shawon -[Sec Miner's Bangladesh]
  • Devender Rao (https://www.linkedin.com/in/devender-rao)
  • RAJIB BAR (https://www.linkedin.com/in/rajib-bar-rjb-b3683314b)
  • Atharv Shejwal (https://kongsec.io)
  • Xavier DANEST (https://sustainability.decathlon.com/)
  • Aditya Shende (http://kongsec.io)
  • Andreas Rothenbacher (https://error401.de)
  • Rachit Verma @b43kd00r (https://www.linkedin.com/in/b43kd00r/)
  • Suraj SK (https://www.linkedin.com/in/suraj-sk/)
  • Simon Effenberg (https://www.linkedin.com/in/simon-effenberg)
  • Niraj Mahajan (https://www.linkedin.com/in/niraj1mahajan)
  • Ayush Pandey (https://www.linkedin.com/in/ayush-pandey-148797175)
  • Sivanesh kumar D (https://twitter.com/sivanesh_hacker?s=09)
  • Touhid Shaikh (https://securityium.com/)
  • N Krishna Chaitanya (https://www.linkedin.com/in/n-krishna-chaitanya-27926aba/)
  • Ayush Mangal (https://www.linkedin.com/in/ayush-mangal-48a168110)
  • Tameem Khalid (https://www.linkedin.com/in/tameem-khalid-641a4b192/)
  • ddaa of TrapaSecurity (https://twitter.com/0xddaa)
  • Praveen Kumar
  • Oscar Spierings (https://polyform.dev)
  • Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
  • swings of Chaitin Security Research Lab
  • Hasibul Hasan Rifat (https://twitter.com/rifatsec)
  • Lanni
  • Yeshwanth (https://www.linkedin.com/in/yeshwanth-b-4a560b202)
  • Darshan Sunil jogi (https://www.linkedin.com/in/darshan-jogi-9450431b6/)
  • Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
  • Lanni
  • Swapnil Patil (https://www.linkedin.com/in/swapnil-patil-874223195)
  • Vladislav Akimenko (Digital Security) (https://dsec.ru)
  • Muhammad Junaid Abdullah (https://twitter.com/an0n_j)
  • Claudio Bozzato of Cisco Talos (https://talosintelligence.com/vulnerability_reports/)
  • Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
  • Aditya Soni (https://www.linkedin.com/in/adtyasoni)
  • Mansoor Amjad (https://twitter.com/TheOutcastCoder)
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady)
  • James Smith (Bridewell Consulting) (https://bridewellconsulting.com)
  • Kinshuk Kumar (https://www.linkedin.com/in/kinshuk-kumar-4833551a1/)
  • Amit Kumar (https://www.linkedin.com/in/amit-kumar-9853731a4)
  • Mehedi Hasan Remon (twitter.com/remonsec)
  • Joshua Olson (www.linkedin.com/in/joshua-olson-cysa)
  • Vaibhav Rajeshwar Atkale(https://twitter.com/atkale_vaibhav)
  • Mohammed Eldawody (www.fb.com/eldawody0)
  • YoKo Kho (https://twitter.com/YoKoAcc)
  • Satyajit Das (https://www.linkedin.com/in/mrsatyajitdas)
  • Tinu Tomy (https://twitter.com/tinurock007)
  • Aniket Bhutani (https://www.linkedin.com/in/aniket-bhutani-6ba979192/)
  • Anurag Muley (https://www.linkedin.com/in/ianuragmuley/)
  • Howard Ching (https://www.linkedin.com/in/howard-ching-rhul/)
  • Janmejaya Swain (https://www.linkedin.com/in/janmejayaswainofficial)
  • Ahmad Firmansyah (https://twitter.com/AhmdddFsyaaah)
  • Agrah Jain (www.linkedin.com/in/agrahjain)
  • Shivam Kamboj Dattana (https://www.linkedin.com/in/sechunt3r/)
  • Pratik Vinod Yadav (https://twitter.com/PratikY9967)
  • Akshaykumar Kokitkar (https://mobile.twitter.com/cyber_agent2)
  • Shesha Sai C (https://www.linkedin.com/in/shesha-sai-c-18585b125)
  • Yash Agarwal (https://www.linkedin.com/in/yash-agarwal-17464715b)
  • Jan KOPEC(https://twitter.com/blogresponder)
  • Denis Burtanović
  • Hasibul Hasan Shawon -[Sec Miner's Bangladesh]
  • Georg Delp (https://www.linkedin.com/in/georgdelp/)
  • R Atik Islam (https://www.facebook.com/atik.islam.14661)
  • Jose Israel Nadal Vidal (https://twitter.com/perito_inf)
  • Thomas Grünert (https://de.linkedin.com/in/thomas-gr%C3%BCnert-250905168)
  • Matteo Bussani (https://www.linkedin.com/in/matteo-bussani-77b595198/)
  • Bing-Jhong Jheng (https://github.com/st424204/ctf_practice)
  • Swapnil Patil (https://www.linkedin.com/in/swapnil-patil-874223195)
  • Prakash Kumar Parthasarathy (https://www.linkedin.com/in/prakashofficial)
  • Kitab Ahmed (www.ahmed.science)
  • Ahmad Firmansyah (https://twitter.com/AhmdddFsyaaah)
  • Tiziano Di Vincenzo (https://www.linkedin.com/in/tiziano-d-3324a345/)
  • Pratik Vinod Yadav (https://www.linkedin.com/in/pratik-yadav-117463149)
  • Diwakar Kumar (https://www.linkedin.com/in/diwakar-kumar-5b3843114/)
  • Rushi Gayakwad
  • Yash Ahmed Quashim (https://www.facebook.com/abir.beingviper)
  • Swapnil Kothawade (https://twitter.com/Swapnil_Kotha?s=09)
  • Ankit Kumar (https://www.linkedin.com/in/ankit-kumar-42a644166/)
  • Aman Rai (https://www.linkedin.com/in/aman-rai-737a19146)
  • Rushikesh Gaikwad (https://www.linkedin.com/in/rushikesh-gaikwad-407163171)
  • Rupesh Tanaji Kokare (https://www.linkedin.com/in/rupesh-kokare-b63a78145/)
  • Sumit Jain (https://twitter.com/sumit_cfe)
  • Qian Chen of Qihoo 360 Nirvan Team
  • Vishal Vachheta (https://www.linkedin.com/in/vishal-vachheta-a30863122)
  • Zhong Zhaochen
  • Tomasz Grabowski
  • Nightwatch Cybersecurity Research (https://wwws.nightwatchcybersecurity.com)
  • Safwat Refaat (https://twitter.com/Caesar302)
  • Agent22 (https://securelayer7.net/)
  • Hsiao-Yung Chen
  • Rich Mirch (https://blog.mirch.io)
  • Ronak Nahar (https://www.linkedin.com/in/naharronak/)
  • Noman Shaikh (https://twitter.com/nomanAli181)
  • David Deller (https://horizon-nigh.org)
  • Mehedi Hasan (SecMiners BD) (https://www.facebook.com/polapan.1337)
  • Touhid M Shaikh (https://touhidshaikh.com)
  • Abhishek Gaikwad
  • Kitabuddin Ahmed
  • Noman Shaikh (https://twitter.com/nomanAli181)
  • Ajit Sharma (https://www.linkedin.com/in/ajit-sharma-90483655)
  • Agung Saputra Ch Lages (https://twitter.com/lagesgeges)
  • Dan Thomsen (www.thomsen.fo)
  • Erik de Jong (https://eriknl.github.io)
  • Sphinx 1,2 (https://www.facebook.com/Sphinx01.10/)
  • AHMED ELSADAT (https://www.linkedin.com/in/ahmed-elsadat-138755133/)
  • Hasibul Hasan (SecMiner)
  • Mohammed Eldawody (www.fb.com/eldawody0)
  • Chris Schneider
  • Abdullah Fares Muhanna (https://www.facebook.com/AbedullahFares)
  • Nick Blyumberg (https://www.linkedin.com/in/nickblyumberg/)
  • Axel Peters
  • Muhammad Junaid Abdullah (https://twitter.com/an0n_j)
  • Kyle Green
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady)
  • Dankel Ahmed (https://hackerone.com/kitab)
  • ShuangYY
  • HackTrack Security
  • Muhammed Ashmil K K (Kavuthukandiyil)
  • Muhammad Junaid Abdullah (https://twitter.com/snoviboy)
  • Kishan kumar (https://facebook.com/noobieboy007)
  • Lays (http://l4ys.tw)
  • Ashish Kumar (https://www.facebook.com/buggyashish)
  • Lakshay Gupta (http://linkedin.com/in/lakshay-gupta-44102a143)
  • Meng-Huan Yu (https://www.linkedin.com/in/cebrusfs/)
  • Ifrah Iman (http://www.ifrahiman.com)
  • Mohammed Israil (https://www.facebook.com/VillageLad, https://www.linkedin.com/in/mohammed-israil-221656128)
  • Taien Wang (https://www.linkedin.com/in/taienwang/)
  • Emad Shanab (@Alra3ees) (https://twitter.com/Alra3ees?s=09)
  • குகன் ராஜா (Havoc Guhan) (https://fb.com/havocgwen)
  • Yasser Gersy (https://twitter.com/yassergersy)
  • Ismail Tasdelen (https://www.linkedin.com/in/ismailtasdelen)
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady)
  • Oliver Kramer (https://www.linkedin.com/in/olikra/)
  • 1N3@CrowdShield (https://crowdshield.com)
  • louys, Xie Wei (解炜), Li Yanlong (李衍龙)
  • Zuo Chaoshun (https://www.linkedin.com/in/chaoshun-zuo-5b9559111/)
  • Ali Razzaq (https://twitter.com/AliRazzaq_)
  • 丁諭祺(Yu-Chi Ding) from DEVCORE CHROOT
  • Alex Weber (www.broot.ca)
  • Alex Bastrakov (https://twitter.com/kazan71p)
  • Mehidia Tania (https://www.beetles.io)
  • freetsubasa (https://twitter.com/freetsubasa)
  • Łukasz Rutkowski (http://www.forit.pl/)
  • Maximilian Tews (www.linkedin.com/in/maximilian-tews)
  • Bryan Galao (https://www.facebook.com/xbryan.galao)
  • Jim Zhou (vip-cloud.cn)
  • Chun Han Hsiao
  • Nightwatch Cybersecurity Research (https://wwws.nightwatchcybersecurity.com)
  • Olivier Bédard
  • Mohamed Eldawody (https://www.facebook.com/Eldawody0)
  • Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
  • 郑吉宏通过 GeekPwn 平台提交
  • Independent Security Evaluators (ISE) labs
  • Independent security researcher, MengHuan Yu, has reported this vulnerability to Beyond Security’s SecuriTeam Secure Disclosure program
  • B.Dhiyaneshwaran (https://www.linkedin.com/in/dhiyaneshwaran-b-27947a131/)
  • Freiwillige Feuerwehr Rohrbach (www.ff-rohrbach.de)
  • Uriya Yavnieli from VDOO (https://vdoo.com)
  • Jung Chan Hyeok
  • Zhong Zhaochen (http://asnine.com)
  • Honc 章哲瑜 (https://www.facebook.com/you.toshoot)
  • Sumit Jain
  • Ketankumar B. Godhani (https://twitter.com/KBGodhani)
  • karthickumar (Ramanathapuram)
  • Alireza Azimzadeh Milani
  • Taien Wang (https://www.facebook.com/taien.tw)
  • Frédéric Crozat (http://blog.crozat.net/)
  • Muhammad Hassaan Khan (https://www.facebook.com/Profile.Hassaan)
  • SSD/Kacper Szurek
  • Alexander Drabek (https://www.2-sec.com/)
  • RAVELA PRAMOD KUMAR (https://mobile.twitter.com/PramodRavela)
  • Kushal Arvind Shah of Fortinet’s FortiGuard Labs
  • Alvin Poon (https://alvinpoon.myportfolio.com/)
  • C.shahidyan, C.Akilan, K.Sai Aswanth
  • BambooFox (https://bamboofox.github.io/)
  • Sajibe Kanti (https://twitter.com/sajibekantibd)
  • Huy Kha (linkedin.com/in/huykha)
  • Pal Patel (https://www.linkedin.com/in/pal434/)
  • Pethuraj M (https://www.linkedin.com/in/pethu/)
  • Ali Ashber (https://www.facebook.com/aliashber7)
  • Muzammil Abbas Kayani (@muzammilabbas2 )
  • Tayyab Qadir (facebook.com/tqMr.EditOr)
  • Babar Khan Akhunzada (www.SecurityWall.co)
  • Mahad Ahmed (https://octadev.com.pk)
  • JD Duh (blog.johndoe.tw, www.linkedin.com/in/JD-Duh)
  • Mubassir Kamdar (http://www.mubassirkamdar.com)
  • Daniel Díez Tainta (https://twitter.com/danilabs)
  • Tushar Rawool (twitter.com/tkrawool)
  • Thrivikram Gujarathi (https://www.linkedin.com/in/thrivikram-gujarathi-certified-ethical-hacker-bug-bounty-hunter-53074796)
  • Ashish Kunwar (twitter: @D0rkerDevil)
  • Steven Hampton (Twitter: @Keritzy, https://stevenh.neocities.org/)
  • Peter Bennink (https://www.linkedin.com/in/peter-bennink/)
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady/)
  • Roopak Voleti (https://m.facebook.com/sairoopak.voleti)