Program odměn za nalezení chyb v zabezpečení
Jelikož se hrozby vyvíjejí a jejich frekvence i sofistikovanost se zvyšují, snaží se společnost Synology ve spolupráci s výzkumníky v oblasti zabezpečení udržovat a dále posilovat svoji ochranu.
Rozsah produktůTento program přijímá pouze hlášení o zranitelnostech souvisejících s produkty a webovými službami Synology. Hlášení o zranitelnostech, které nespadají do rozsahu programu, obvykle nevytvářejí nárok na odměny; podle situace ale mohou být přijata i hlášení o kritických zranitelnostech, které do rozsahu nespadají.

Operační systémy

Odměny do částky

30 000 USD

Sem patří systémy Synology DiskStation Manager, Synology Router Manager a Synology BeeStation.

Další informace

Software a služby C2 Cloud

Odměny do částky

10 000 USD

Sem patří softwarové balíčky vyvinuté společností Synology, související mobilní aplikace a služby C2 Cloud.

Další informace

Webové služby

Odměny do částky

5 000 USD

Sem patří všechny významné webové služby Synology.

Další informace
Podrobnosti o odměnách
Kritéria pro získání nároku na odměnu
Poskytněte jakékoliv informace, které jsou potřeba k reprodukování nahlášených problémů. Velikost odměny závisí na závažnosti nahlášené zranitelnosti a na kategorii postiženého produktu.Abyste za hlášení získali nárok na peněžní odměnu, musí splňovat následující kritéria:
  1. Jste prvním výzkumníkem, který tuto zranitelnost nahlásil
  2. Potvrdí se, že nahlášená zranitelnost představuje ověřitelný, reprodukovatelný a platný problém se zabezpečením
  3. Vaše hlášení splňuje podmínky programu odměn
Nahlašování bezpečnostních chybPokud se domníváte, že jste zjistili nějakou zranitelnost, postupujte podle následujících pokynů:
Krok 1

Obraťte se na nás pomocí kontaktního formuláře programu odměn.

Krok 2

Při odesílání hlášení o chybách do společnosti Synology zašifrujte odesílané informace pomocí tohoto klíče PGP.

Krok 3

Přiložte podrobné ověření konceptu (PoC) a přesvědčte se, že je možné nahlašované problémy reprodukovat.

Krok 4

Popis by měl být stručný. Například odkaz na stručné ověření konceptu se cení více než video s vysvětlením důsledků problému SSRF.

Vaše a naše odpovědnostVaše hlášeníAby se zkrátila doba zpracování, měla by dobrá hlášení o zranitelnosti:
  1. Obsahovat srozumitelný a podrobný popis způsobu, jakým lze zranitelnost reprodukovat, v angličtině
  2. Demonstrovat, jakým způsobem tato zranitelnost ovlivňuje produkty nebo webové služby Synology, a uvést, které verze a platformy jsou touto zranitelností postiženy
  3. Uvést potenciální škody, které by nahlášená zranitelnost mohla způsobit
Naše odpověď
Bezpečnostní tým Synology odpoví na vaši hlášení do 7 dní, bude jeho stav pravidelně aktualizovat a podle závažnosti uvedené hrozby zajistí co nejrychlejší opravu této zranitelnosti.Pokud za vaši hlášení o zranitelnosti získáte nárok na peněžní odměnu, bude vaše jméno jako výraz našeho uznání uvedeno na stránce Security Advisor pro produkty Synology na našich oficiálních webových stránkách.Tento proces bude trvat alespoň 90 dní. Odměnu vám převedeme po dokončení tohoto procesu.
Poznámky:Společnost Synology si vyhrazuje právo tento program, včetně jeho zásad, bez předchozího oznámení kdykoli změnit nebo zrušit.
Operační systémy
Odměna

Způsobilá hlášení mohou být odměněna částkou až 30 000 USD.*

Produkty spadající do rozsahu

Přijímáme pouze hlášení týkající se oficiálně vydaných verzí.

DiskStation Manager (DSM)

  • DSM 6 (nejnovější verze), DSM 7 (nejnovější verze)
  • Balíčky instalované podle výchozího nastavení

Synology Router Manager (SRM)

  • SRM 1.3 (nejnovější verze)
  • Balíčky instalované podle výchozího nastavení

Firmware pro zařízení Synology Camera

  • Firmware 1.3 (nejnovější verze)

Synology BeeStation

  • BeeStation OS 1.0 (nejnovější verze)
  • Standardně nainstalované balíčky
Předpisy a omezení

Tento program je omezen výhradně na zranitelnosti zabezpečení nalezené v produktech a službách společnosti Synology. Akce, které by mohly potenciálně poškodit nebo nepříznivě ovlivnit servery nebo data společnosti Synology, jsou přísně zakázány. Testování zranitelnosti nesmí porušovat místní ani tchajwanské zákony.

V rámci tohoto programu nebudou přijaty žádná hlášení o zranitelnostech, jestliže budou popisovat nebo zahrnovat:

  1. Útoky DoS (Denial of Service) na servery Synology nebo na servery uživatelů
  2. Testování zranitelnosti se škodlivým dopadem na servery Synology nebo data uživatelů
  3. Fyzické útoky nebo sociální inženýrství
  4. Zveřejnění informací o chybách před schválením společností Synology
  5. Nekritické zranitelnosti v zastaralých službách nebo produktech
  6. Zranitelnosti postihující pouze zastaralé webové prohlížeče
  7. Většina typů útoků hrubou silou
  8. Útoky Reflected XSS nebo Self XSS
  9. Zranitelnosti zahrnující fishing, vytváření falešných webových stránek nebo páchání podvodů
  10. Hlášení o vyhledávání zranitelností, které neobsahují podrobnosti o dopadech zranitelnosti
  11. Oznámení, že jsou zranitelné výchozí porty, ale bez uvedení PoC
  12. Teoretické zranitelnosti bez uvedení konkrétního ověření konceptu (PoC)
  13. Samotná otevřená přesměrování se obvykle považují pouze za informační a nevytvářejí nárok na odměnu, pokud ovšem nepřispívají k nějaké významnější zranitelnosti
  14. Chybějící záhlaví zabezpečení, která nevedou přímo ke zneužití
  15. Chybějící příznaky zabezpečení v souborech cookie
  16. Výčet uživatelů. Hlášení uvádějící výčet uživatelů do tohoto rozsahu nespadají, pokud ovšem nemůžete prokázat, že nemáme žádná omezení rychlosti zajišťující ochranu našich uživatelů.

*Další podrobnosti jsou uvedeny na stránce Podrobnosti o odměnách na webové stránce programu hledání bezpečnostních chyb.

Software a služby C2 Cloud
Odměna

Způsobilá hlášení mohou být odměněna částkou až 10 000 USD.*

Produkty spadající do rozsahu

Přijímáme pouze hlášení týkající se oficiálně vydaných verzí.

Balíčky

Softwarové balíčky vyvinuté společností Synology

Počítačoví klienti

Aplikace pro systémy Windows, macOS a Linux vyvinuté společností Synology

Mobilní aplikace

Mobilní aplikace pro systémy Android a iOS vyvinuté společností Synology

Účet Synology

  • Domény *.account.synology.com
  • Domény *.identity.synology.com

Služby C2

Domény *.c2.synology.com

Předpisy a omezení

Tento program je omezen výhradně na zranitelnosti zabezpečení nalezené v produktech a službách společnosti Synology. Akce, které by mohly potenciálně poškodit nebo nepříznivě ovlivnit servery nebo data společnosti Synology, jsou přísně zakázány. Testování zranitelnosti nesmí porušovat místní ani tchajwanské zákony.

V rámci tohoto programu nebudou přijaty žádná hlášení o zranitelnostech, jestliže budou popisovat nebo zahrnovat:

  1. Útoky DoS (Denial of Service) na servery Synology nebo na servery uživatelů
  2. Testování zranitelnosti se škodlivým dopadem na servery Synology nebo data uživatelů
  3. Fyzické útoky nebo sociální inženýrství
  4. Zveřejnění informací o chybách před schválením společností Synology
  5. Nekritické zranitelnosti v zastaralých službách nebo produktech
  6. Zranitelnosti postihující pouze zastaralé webové prohlížeče
  7. Většina typů útoků hrubou silou
  8. Útoky Reflected XSS nebo Self XSS
  9. Zranitelnosti zahrnující fishing, vytváření falešných webových stránek nebo páchání podvodů
  10. Hlášení o vyhledávání zranitelností, které neobsahují podrobnosti o dopadech zranitelnosti
  11. Oznámení, že jsou zranitelné výchozí porty, ale bez uvedení PoC
  12. Teoretické zranitelnosti bez uvedení konkrétního ověření konceptu (PoC)
  13. Samotná otevřená přesměrování se obvykle považují pouze za informační a nevytvářejí nárok na odměnu, pokud ovšem nepřispívají k nějaké významnější zranitelnosti
  14. Chybějící záhlaví zabezpečení, která nevedou přímo ke zneužití
  15. Chybějící příznaky zabezpečení v souborech cookie
  16. Výčet uživatelů. Hlášení uvádějící výčet uživatelů do tohoto rozsahu nespadají, pokud ovšem nemůžete prokázat, že nemáme žádná omezení rychlosti zajišťující ochranu našich uživatelů.

*Další podrobnosti jsou uvedeny na stránce Podrobnosti o odměnách na webové stránce programu hledání bezpečnostních chyb.

Webové služby
Odměna

Způsobilá hlášení mohou být odměněna částkou až 5 000 USD.*

Produkty spadající do rozsahu

Do rozsahu spadají následující domény (včetně poddomén):

*.synology.com

Následující domény (včetně poddomén) do rozsahu nespadají:

openstack-ci-logs.synology.com, router.synology.com

Společnost Synology si vyhrazuje právo tento seznam kdykoliv a bez předchozího upozornění měnit.

Předpisy a omezení

Tento program je omezen výhradně na zranitelnosti zabezpečení nalezené v produktech a službách společnosti Synology. Akce, které by mohly potenciálně poškodit nebo nepříznivě ovlivnit servery nebo data společnosti Synology, jsou přísně zakázány. Testování zranitelnosti nesmí porušovat místní ani tchajwanské zákony.

V rámci tohoto programu nebudou přijaty žádná hlášení o zranitelnostech, jestliže budou popisovat nebo zahrnovat:

  1. Útoky DoS (Denial of Service) na servery Synology nebo na servery uživatelů
  2. Testování zranitelnosti se škodlivým dopadem na servery Synology nebo data uživatelů
  3. Fyzické útoky nebo sociální inženýrství
  4. Zveřejnění informací o chybách před schválením společností Synology
  5. Procházení adresářů na webu https://*archive.synology.com
  6. Reflected file download
  7. Problémy se zachytáváním bannerů nebo zveřejnění verze softwaru
  8. Zranitelnost nultého dne zveřejněná do 90 dnů
  9. Nekritické zranitelnosti v zastaralých službách nebo produktech
  10. Zranitelnosti postihující pouze zastaralé webové prohlížeče
  11. Většina typů útoků hrubou silou
  12. Útoky Reflected XSS nebo Self XSS
  13. Zranitelnosti zahrnující fishing, vytváření falešných webových stránek nebo páchání podvodů
  14. Hlášení o skenování zranitelností, které neobsahují podrobnosti o dopadech zranitelnosti
  15. Označení výchozích portů jako zranitelných, ale bez uvedení PoC
  16. Teoretické zranitelnosti bez uvedení konkrétního ověření konceptu (PoC)
  17. Samotná otevřená přesměrování se obvykle považují pouze za informační a nevytvářejí nárok na odměnu, pokud ovšem nepřispívají k nějaké významnější zranitelnosti
  18. Chybějící záhlaví zabezpečení, která nevedou přímo ke zneužití
  19. Chybějící příznaky zabezpečení v souborech cookie
  20. Výčet uživatelů. Hlášení uvádějící výčet uživatelů do tohoto rozsahu nespadají, pokud ovšem nemůžete prokázat, že nemáme žádná omezení rychlosti zajišťující ochranu našich uživatelů.

*Další podrobnosti jsou uvedeny na stránce Podrobnosti o odměnách na webové stránce programu hledání bezpečnostních chyb.

Podrobnosti o odměnách
Tato stránka slouží k tomu, aby se výzkumníci seznámili se s potenciálními maximálními odměnami za konkrétní typy zranitelností a upozorňuje, kterých typů zranitelností si společnost Synology nejvíce cení. Vážíme si vašich příspěvků a významné příspěvky k výzkumu zabezpečení spravedlivě odměníme.Odměny uvedené v tabulce představují maximální možnou částku u každé kategorie, není však zaručeno, že všechna způsobilá hlášení uvedenou částku obdrží.*
Naléhavé
Operační systémySoftware a služby C2 CloudWebové služby
Zero-click pre-auth RCE30 000 USD10 000 USD5 000 USD
Zero-click pre-auth arbitrary file r/w9 000 USD4 600 USD2 400 USD
Důležité
Operační systémySoftware a služby C2 CloudWebové služby
1-click pre-auth RCE8 000 USD4 000 USD2 000 USD
Zero-click normal-user-auth RCE7 500 USD3 900 USD1 900 USD
Zero-click normal-user-auth arbitrary file r/w6 500 USD3 400 USD1 700 USD
Zero-click pre-auth RCE (AC:H)6 500 USD3 400 USD1 700 USD
1-click pre-auth RCE (AC:H)5 000 USD2 500 USD1 325 USD
pre-auth SQL injection3 800 USD1 950 USD1 025 USD
1-click normal-user-auth RCE (AC:H)2 600 USD1 350 USD725 USD
pre-auth stored XSS2 600 USD1 350 USD725 USD
Střední
Operační systémySoftware a služby C2 CloudWebové služby
Zero-click admin-auth RCE2 000 USD1 000 USD500 USD
Zero-click admin-auth arbitrary file r/w1 500 USD860 USD480 USD
normal-user-auth stored XSS1 350 USD733 USD417 USD
normal-user-auth SQL injection1 200 USD607 USD353 USD
admin-auth stored XSS600 USD353 USD227 USD

Zranitelnosti, které nebyly předem autorizovány, jsou přijímány také, ale odměny jsou významně nižší.

Notes:

  • * Přestože existují vodítka týkající se odměn, bude každé nahlášení zpracováno a důkladně vyhodnoceno individuálně. Při hodnocení se berou v úvahu různé faktory, mimo jiné rozsah podrobně popsaný v části o odměnách. Společnost Synology si vyhrazuje právo na konečnou interpretaci výše odměn.
Nejčastější dotazyJak mám zranitelnost nahlásit?Uveďte podrobný popis ověření konceptu (PoC) a přesvědčte se, že je možné nahlášené problémy reprodukovat. Při hlášení chyb použijte tento šifrovací klíč PGP nabízený společností Synology a neprozrazujte příslušné informace žádné jiné osobě.Kdo rozhodne o tom, jestli mám za své hlášení o chybě nárok na odměnu?Všechna hlášení o chybách jsou kontrolována a vyhodnocována bezpečnostním týmem Synology, který se skládá z dlouholetých bezpečnostních analytiků ze společnosti Synology.Jaký důsledek bude mít zveřejnění chyby před jejím opravením?Snažíme se na hlášení o chybách rychle reagovat a za rozumnou dobu je opravit. Poprosili bychom vás, abyste nás před zveřejněním informací o chybě nejprve informovali. Jestliže při zveřejnění chyby tuto zásadu nedodržíte, nebudete mít nárok na odměnu.Vzniká nárok na odměnu za zranitelnosti zjištěné v zastaralém softwaru, například Apache nebo Nginx?Identifikujte zranitelnosti v softwaru a vysvětlete, proč se domníváte, že mají na používání softwaru škodlivý dopad. Hlášení, která tento typ informací neobsahují, nemají obvykle nárok na odměnu.Můžu požádat, aby moje jméno nebylo uvedeno na stránce Bezpečnostní doporučení společnosti Synology?Ano. Můžete požádat, abychom vás na naší stránce Bezpečnostní doporučení neuváděli. Pokud ale získáte nárok na odměnu a budete ji chtít přijmout, budeme potřebovat vaše kontaktní údaje, abychom mohli platbu zpracovat.Vzniká nárok na odměnu za zranitelnosti nahlášené obchodníkům se zranitelnostmi?Soukromé odhalení zranitelnosti jiným osobám za jiným účelem než opravy chyby je v rozporu s duchem našeho programu. Takováto hlášení proto nebudou mít nárok na odměnu.Kdo bude mít nárok na odměnu, pokud bude stejná chyba nahlášena více než jednou osobou?Odměnu obdrží první osoba, která nám dříve neznámou zranitelnost objeví.
PoděkováníChceme poděkovat všem s námi spolupracujícím výzkumníkům a organizacím zabývajícími se výzkumem zabezpečení.
  • 2024
  • 2023
  • 2022
  • 2021
  • 2020
  • 2019
  • 2018
  • 2017
  • Khoadha from VCSLab of Viettel Cyber Security ( https://viettelcybersecurity.com/)
  • Tim Coen (https://security-consulting.icu/)
  • Mykola Grymalyuk from RIPEDA Consulting
  • Zhao Runzi (赵润梓)
  • Andrea Maugeri (https://www.linkedin.com/in/andreamaugeri)
  • Offensive Security Research @ Ronin (https://ronin.ae/)
  • Nathan (Yama) https://DontClickThis.run
  • Endure Secure (https://endsec.au)
  • Stephen Argent (https://www.runby.coffee/)
  • Qian Chen (@cq674350529) from Codesafe Team of Legendsec at QI-ANXIN Group
  • Jan Kopřiva of Nettles Consulting (https://www.nettles.cz/security/)
  • Andrej Zaujec (https://www.linkedin.com/in/andrej-zaujec-24ba07158/)
  • chumen77 from WeBin Lab of DbappSecurity Co.,Ltd.
  • Bruce Chen (https://twitter.com/bruce30262)
  • aoxsin (https://twitter.com/aoxsin)
  • Armanul Miraz
  • Jaehoon Jang, STEALIEN (https://stealien.com)
  • Jangwoo Choi, HYEONJUN LEE, SoYeon Kim, TaeWan Ha, DoHwan Kim (https://zrr.kr/SWND)
  • Jaehoon Jang, Wonbeen Im, STEALIEN (https://stealien.com)
  • Tomer Goldschmidt and Sharon Brizinov of Claroty Research - Team82
  • Vo Van Thong of GE Security (VNG) (https://www.linkedin.com/in/thongvv3/)
  • Hussain Adnan Hashim (https://www.linkedin.com/in/hussain0x3c)
  • TEAM.ENVY (https://team-envy.gitbook.io/team.envy/about-us)
  • Tim Coen (https://security-consulting.icu)
  • TEAM TGLS (Best of the Best 12th) (https://zrr.kr/SWND)
  • Zhao Runzi (赵润梓)
  • Kevin Wang (https://twitter.com/kevingwn_ )
  • Shubham Kushwaha/ meenakshi Maurya (https://github.com/anabelle666)
  • Safwat Refaat (@Caesar302)
  • Jeffrey Baker (www.Biznet.net)
  • Monisha N (https://www.linkedin.com/in/monisha-nagaraj-321524218/)
  • Ravi (https://twitter.com/itsrvsinghh)
  • remonsec (https://twitter.com/remonsec)
  • TheLabda (https://thelabda.com)
  • Grant Kellie (https://www.linkedin.com/in/grant-kellie-54a23b238/)
  • pulla karthik srivastav (https://www.linkedin.com/in/karthik-srivastav-680359192)
  • Muhammad Tanvir Ahmed https://www.facebook.com/tohidulislam.tanvir.948
  • Eugene Lim, Government Technology Agency of Singapore (https://spaceraccoon.dev)
  • Laurent Sibilla (https://www.linkedin.com/in/lsibilla/)
  • Thomas Werschlein (https://www.linkedin.com/in/thomas-werschlein-2293384b)
  • Sivanesh kumar (https://twitter.com/sivanesh_hacker)
  • Davis Chang. (https://www.linkedin.com/in/hong-tsun-davis-chang/)
  • @aoxsin (https://twitter.com/aoxsin)
  • Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
  • Hasibul Hasan Shawon (@Saiyan0x01)
  • Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
  • Zain Iqbal (https://www.linkedin.com/in/zain-iqbal-971b76254/)
  • Lukas Kupczyk, CrowdStrike Intelligence
  • Tomasz Szczechura (https://www.linkedin.com/in/tomasz-szczechura-5189098b/)
  • Zhao Runzi (赵润梓)
  • Qian Chen (@cq674350529) from Codesafe Team of Legendsec at Qi'anxin Group
  • Patrik Fabian (https://websafe.hu)
  • Eugene Lim, Government Technology Agency of Singapore (https://spaceraccoon.dev)
  • Jeenika Anadani (https://twitter.com/j33n1k4)
  • waterpeitw (https://zeroday.hitcon.org/user/waterpeitw)
  • Milan katwal (https://www.milankatwal.com.np/)
  • N S R de Rooy (https://www.linkedin.com/in/norbert-de-rooy-9b24527/)
  • Christian Tucci (https://www.linkedin.com/in/christian-tucci/)
  • Ravindra Dagale (https://www.linkedin.com/in/ravindra-dagale-5b0913151/)
  • Sanket Anil Ambalkar (https://www.linkedin.com/in/sanket-ambalkar-70211518b/)
  • Chirag Agrawal (https://www.linkedin.com/in/chirag-agrawal-770488144/)
  • Yimi Hu@baidu.com
  • Raman R Mohurle (https://twitter.com/Raman_Mohurle)
  • cmj (http://blog.cmj.tw/)
  • Parth Manek
  • Patrick Williams (https://www.linkedin.com/in/patrick-williams-6992b4104/)
  • Amaranath Moger (https://www.linkedin.com/in/amaranath-moger/)
  • Dennis Herrmann (Code White GmbH)
  • Siddharth Parashar (https://www.linkedin.com/in/siddharth-parashar-b2a21b1b5/)
  • Sahil Soni (https://twitter.com/sahil__soni_18?s=08)
  • Hasibul Hasan Shawon -[Sec Miner's Bangladesh]
  • Devender Rao (https://www.linkedin.com/in/devender-rao)
  • RAJIB BAR (https://www.linkedin.com/in/rajib-bar-rjb-b3683314b)
  • Atharv Shejwal (https://kongsec.io)
  • Xavier DANEST (https://sustainability.decathlon.com/)
  • Aditya Shende (http://kongsec.io)
  • Andreas Rothenbacher (https://error401.de)
  • Rachit Verma @b43kd00r (https://www.linkedin.com/in/b43kd00r/)
  • Suraj SK (https://www.linkedin.com/in/suraj-sk/)
  • Simon Effenberg (https://www.linkedin.com/in/simon-effenberg)
  • Niraj Mahajan (https://www.linkedin.com/in/niraj1mahajan)
  • Ayush Pandey (https://www.linkedin.com/in/ayush-pandey-148797175)
  • Sivanesh kumar D (https://twitter.com/sivanesh_hacker?s=09)
  • Touhid Shaikh (https://securityium.com/)
  • N Krishna Chaitanya (https://www.linkedin.com/in/n-krishna-chaitanya-27926aba/)
  • Ayush Mangal (https://www.linkedin.com/in/ayush-mangal-48a168110)
  • Tameem Khalid (https://www.linkedin.com/in/tameem-khalid-641a4b192/)
  • ddaa of TrapaSecurity (https://twitter.com/0xddaa)
  • Praveen Kumar
  • Oscar Spierings (https://polyform.dev)
  • Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
  • swings of Chaitin Security Research Lab
  • Hasibul Hasan Rifat (https://twitter.com/rifatsec)
  • Lanni
  • Yeshwanth (https://www.linkedin.com/in/yeshwanth-b-4a560b202)
  • Darshan Sunil jogi (https://www.linkedin.com/in/darshan-jogi-9450431b6/)
  • Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
  • Lanni
  • Swapnil Patil (https://www.linkedin.com/in/swapnil-patil-874223195)
  • Vladislav Akimenko (Digital Security) (https://dsec.ru)
  • Muhammad Junaid Abdullah (https://twitter.com/an0n_j)
  • Claudio Bozzato of Cisco Talos (https://talosintelligence.com/vulnerability_reports/)
  • Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
  • Aditya Soni (https://www.linkedin.com/in/adtyasoni)
  • Mansoor Amjad (https://twitter.com/TheOutcastCoder)
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady)
  • James Smith (Bridewell Consulting) (https://bridewellconsulting.com)
  • Kinshuk Kumar (https://www.linkedin.com/in/kinshuk-kumar-4833551a1/)
  • Amit Kumar (https://www.linkedin.com/in/amit-kumar-9853731a4)
  • Mehedi Hasan Remon (twitter.com/remonsec)
  • Joshua Olson (www.linkedin.com/in/joshua-olson-cysa)
  • Vaibhav Rajeshwar Atkale(https://twitter.com/atkale_vaibhav)
  • Mohammed Eldawody (www.fb.com/eldawody0)
  • YoKo Kho (https://twitter.com/YoKoAcc)
  • Satyajit Das (https://www.linkedin.com/in/mrsatyajitdas)
  • Tinu Tomy (https://twitter.com/tinurock007)
  • Aniket Bhutani (https://www.linkedin.com/in/aniket-bhutani-6ba979192/)
  • Anurag Muley (https://www.linkedin.com/in/ianuragmuley/)
  • Howard Ching (https://www.linkedin.com/in/howard-ching-rhul/)
  • Janmejaya Swain (https://www.linkedin.com/in/janmejayaswainofficial)
  • Ahmad Firmansyah (https://twitter.com/AhmdddFsyaaah)
  • Agrah Jain (www.linkedin.com/in/agrahjain)
  • Shivam Kamboj Dattana (https://www.linkedin.com/in/sechunt3r/)
  • Pratik Vinod Yadav (https://twitter.com/PratikY9967)
  • Akshaykumar Kokitkar (https://mobile.twitter.com/cyber_agent2)
  • Shesha Sai C (https://www.linkedin.com/in/shesha-sai-c-18585b125)
  • Yash Agarwal (https://www.linkedin.com/in/yash-agarwal-17464715b)
  • Jan KOPEC(https://twitter.com/blogresponder)
  • Denis Burtanović
  • Hasibul Hasan Shawon -[Sec Miner's Bangladesh]
  • R Atik Islam (https://www.facebook.com/atik.islam.14661)
  • Jose Israel Nadal Vidal (https://twitter.com/perito_inf)
  • Thomas Grünert (https://de.linkedin.com/in/thomas-gr%C3%BCnert-250905168)
  • Matteo Bussani (https://www.linkedin.com/in/matteo-bussani-77b595198/)
  • Bing-Jhong Jheng (https://github.com/st424204/ctf_practice)
  • Swapnil Patil (https://www.linkedin.com/in/swapnil-patil-874223195)
  • Prakash Kumar Parthasarathy (https://www.linkedin.com/in/prakashofficial)
  • Kitab Ahmed (www.ahmed.science)
  • Ahmad Firmansyah (https://twitter.com/AhmdddFsyaaah)
  • Tiziano Di Vincenzo (https://www.linkedin.com/in/tiziano-d-3324a345/)
  • Pratik Vinod Yadav (https://www.linkedin.com/in/pratik-yadav-117463149)
  • Diwakar Kumar (https://www.linkedin.com/in/diwakar-kumar-5b3843114/)
  • Rushi Gayakwad
  • Yash Ahmed Quashim (https://www.facebook.com/abir.beingviper)
  • Swapnil Kothawade (https://twitter.com/Swapnil_Kotha?s=09)
  • Ankit Kumar (https://www.linkedin.com/in/ankit-kumar-42a644166/)
  • Aman Rai (https://www.linkedin.com/in/aman-rai-737a19146)
  • Rushikesh Gaikwad (https://www.linkedin.com/in/rushikesh-gaikwad-407163171)
  • Rupesh Tanaji Kokare (https://www.linkedin.com/in/rupesh-kokare-b63a78145/)
  • Sumit Jain (https://twitter.com/sumit_cfe)
  • Qian Chen of Qihoo 360 Nirvan Team
  • Vishal Vachheta (https://www.linkedin.com/in/vishal-vachheta-a30863122)
  • Zhong Zhaochen
  • Tomasz Grabowski
  • Nightwatch Cybersecurity Research (https://wwws.nightwatchcybersecurity.com)
  • Safwat Refaat (https://twitter.com/Caesar302)
  • Agent22 (https://securelayer7.net/)
  • Hsiao-Yung Chen
  • Rich Mirch (https://blog.mirch.io)
  • Ronak Nahar (https://www.linkedin.com/in/naharronak/)
  • Noman Shaikh (https://twitter.com/nomanAli181)
  • David Deller (https://horizon-nigh.org)
  • Mehedi Hasan (SecMiners BD) (https://www.facebook.com/polapan.1337)
  • Touhid M Shaikh (https://touhidshaikh.com)
  • Abhishek Gaikwad
  • Kitabuddin Ahmed
  • Noman Shaikh (https://twitter.com/nomanAli181)
  • Ajit Sharma (https://www.linkedin.com/in/ajit-sharma-90483655)
  • Agung Saputra Ch Lages (https://twitter.com/lagesgeges)
  • Dan Thomsen (www.thomsen.fo)
  • Erik de Jong (https://eriknl.github.io)
  • Sphinx 1,2 (https://www.facebook.com/Sphinx01.10/)
  • AHMED ELSADAT (https://www.linkedin.com/in/ahmed-elsadat-138755133/)
  • Hasibul Hasan (SecMiner)
  • Mohammed Eldawody (www.fb.com/eldawody0)
  • Chris Schneider
  • Abdullah Fares Muhanna (https://www.facebook.com/AbedullahFares)
  • Nick Blyumberg (https://www.linkedin.com/in/nickblyumberg/)
  • Axel Peters
  • Muhammad Junaid Abdullah (https://twitter.com/an0n_j)
  • Kyle Green
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady)
  • Dankel Ahmed (https://hackerone.com/kitab)
  • ShuangYY
  • HackTrack Security
  • Muhammed Ashmil K K (Kavuthukandiyil)
  • Muhammad Junaid Abdullah (https://twitter.com/snoviboy)
  • Kishan kumar (https://facebook.com/noobieboy007)
  • Lays (http://l4ys.tw)
  • Ashish Kumar (https://www.facebook.com/buggyashish)
  • Lakshay Gupta (http://linkedin.com/in/lakshay-gupta-44102a143)
  • Meng-Huan Yu (https://www.linkedin.com/in/cebrusfs/)
  • Ifrah Iman (http://www.ifrahiman.com)
  • Mohammed Israil (https://www.facebook.com/VillageLad, https://www.linkedin.com/in/mohammed-israil-221656128)
  • Taien Wang (https://www.linkedin.com/in/taienwang/)
  • Emad Shanab (@Alra3ees) (https://twitter.com/Alra3ees?s=09)
  • குகன் ராஜா (Havoc Guhan) (https://fb.com/havocgwen)
  • Yasser Gersy (https://twitter.com/yassergersy)
  • Ismail Tasdelen (https://www.linkedin.com/in/ismailtasdelen)
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady)
  • Oliver Kramer (https://www.linkedin.com/in/oliver-kramer-670206b5)
  • 1N3@CrowdShield (https://crowdshield.com)
  • louys, Xie Wei (解炜), Li Yanlong (李衍龙)
  • Zuo Chaoshun (https://www.linkedin.com/in/chaoshun-zuo-5b9559111/)
  • Ali Razzaq (https://twitter.com/AliRazzaq_)
  • 丁諭祺(Yu-Chi Ding) from DEVCORE CHROOT
  • Alex Weber (www.broot.ca)
  • Alex Bastrakov (https://twitter.com/kazan71p)
  • Mehidia Tania (https://www.beetles.io)
  • freetsubasa (https://twitter.com/freetsubasa)
  • Łukasz Rutkowski (http://www.forit.pl/)
  • Maximilian Tews (www.linkedin.com/in/maximilian-tews)
  • Bryan Galao (https://www.facebook.com/xbryan.galao)
  • Jim Zhou (vip-cloud.cn)
  • Chun Han Hsiao
  • Nightwatch Cybersecurity Research (https://wwws.nightwatchcybersecurity.com)
  • Olivier Bédard
  • Mohamed Eldawody (https://www.facebook.com/Eldawody0)
  • Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
  • 郑吉宏通过 GeekPwn 平台提交
  • Independent Security Evaluators (ISE) labs
  • Independent security researcher, MengHuan Yu, has reported this vulnerability to Beyond Security’s SecuriTeam Secure Disclosure program
  • B.Dhiyaneshwaran (https://www.linkedin.com/in/dhiyaneshwaran-b-27947a131/)
  • Freiwillige Feuerwehr Rohrbach (www.ff-rohrbach.de)
  • Uriya Yavnieli from VDOO (https://vdoo.com)
  • Jung Chan Hyeok
  • Zhong Zhaochen (http://asnine.com)
  • Honc 章哲瑜 (https://www.facebook.com/you.toshoot)
  • Sumit Jain
  • Ketankumar B. Godhani (https://twitter.com/KBGodhani)
  • karthickumar (Ramanathapuram)
  • Alireza Azimzadeh Milani
  • Taien Wang (https://www.facebook.com/taien.tw)
  • Frédéric Crozat (http://blog.crozat.net/)
  • Muhammad Hassaan Khan (https://www.facebook.com/Profile.Hassaan)
  • SSD/Kacper Szurek
  • Alexander Drabek (https://www.2-sec.com/)
  • RAVELA PRAMOD KUMAR (https://mobile.twitter.com/PramodRavela)
  • Kushal Arvind Shah of Fortinet’s FortiGuard Labs
  • Alvin Poon (https://alvinpoon.myportfolio.com/)
  • C.shahidyan, C.Akilan, K.Sai Aswanth
  • BambooFox (https://bamboofox.github.io/)
  • Sajibe Kanti (https://twitter.com/sajibekantibd)
  • Huy Kha (linkedin.com/in/huykha)
  • Pal Patel (https://www.linkedin.com/in/pal434/)
  • Pethuraj M (https://www.linkedin.com/in/pethu/)
  • Ali Ashber (https://www.facebook.com/aliashber7)
  • Muzammil Abbas Kayani (@muzammilabbas2 )
  • Tayyab Qadir (facebook.com/tqMr.EditOr)
  • Babar Khan Akhunzada (www.SecurityWall.co)
  • Mahad Ahmed (https://octadev.com.pk)
  • JD Duh (blog.johndoe.tw, www.linkedin.com/in/JD-Duh)
  • Mubassir Kamdar (http://www.mubassirkamdar.com)
  • Daniel Díez Tainta (https://twitter.com/danilabs)
  • Tushar Rawool (twitter.com/tkrawool)
  • Thrivikram Gujarathi (https://www.linkedin.com/in/thrivikram-gujarathi-certified-ethical-hacker-bug-bounty-hunter-53074796)
  • Ashish Kunwar (twitter: @D0rkerDevil)
  • Steven Hampton (Twitter: @Keritzy, https://stevenh.neocities.org/)
  • Peter Bennink (https://www.linkedin.com/in/peter-bennink/)
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady/)
  • Roopak Voleti (https://m.facebook.com/sairoopak.voleti)