Security Bug Bounty Programm

Bedrohungen entwickeln sich ständig weiter und werden dabei immer raffinierter. In Zusammenarbeit mit Sicherheits-Entwicklern arbeitet Synology daher kontinuierlich an der Weiterentwicklung aller Schutzmaßnahmen.

Das Security Bug Bounty Programm von Synology honoriert und belohnt Entwickler, die potenzielle Schwachstellen identifizieren und mit uns zusammenarbeiten. Denn unser Ziel ist es gemeinsam die Sicherheit aller Synology Kunden zu gewährleisten!

Geltungsbereich

Dieses Programm akzeptiert nur Berichte über Sicherheitslücken, die sich auf Produkte und Webdienste von Synology beziehen. Berichte über Sicherheitslücken, die nicht in den Anwendungsbereich des Programms fallen, qualifizieren sich in der Regel nicht für Belohnungen; Berichte über kritische Sicherheitslücken, die nicht in den Anwendungsbereich fallen, können jedoch je nach Situation akzeptiert werden.

Betriebssysteme

Prämien von bis zu 30.000 US-Dollar

Prämien von bis zu 30.000 US-Dollar

Umfasst Synology DiskStation Manager und Synology Router Manager.

Software und C2-Cloud-Dienste

Prämien von bis zu 10.000 US-Dollar.

Prämien von bis zu 10.000 US-Dollar.

Umfasst die von Synology entwickelten Softwarepakete, zugehörige mobile Anwendungen und C2-Cloud-Dienste.

Webdienste

Prämien von bis zu 5.000 US-Dollar.

Prämien von bis zu 5.000 US-Dollar.

Umfasst alle wichtigen Synology Webdienste.

Betriebssysteme

Prämie

Qualifizierte Meldungen können mit einer Prämie von bis zu 30.000 US-Dollar honoriert werden.*

Produkte im Geltungsbereich

Es werden nur Beiträge über offiziell freigegebene Versionen akzeptiert.

DiskStation Manager (DSM)

  • DSM 6 (neueste Version), DSM 7 (neueste Version)
  • Standardmäßig installierte Pakete

Synology Router Manager (SRM)

  • Standardmäßig installierte Pakete
  • SRM 1.3 (neueste Version)

Synology Kamera Firmware

  • Firmware 1.3 (aktuellste Version)
Regelungen und Einschränkungen

Dieses Programm ist auf Sicherheitslücken beschränkt, die in Synology Produkten und Dienstleistungen gefunden wurden. Aktionen, die möglicherweise Synology Server oder Daten beschädigen oder nachteilig beeinflussen könnten, sind strengstens untersagt. Die Schwachstellentests dürfen nicht gegen lokale oder taiwanesische Gesetze verstoßen.

Nicht für das Programm qualifiziert sind Berichte die die folgende Sicherheitslücken beschreiben oder beinhalten:

  1. DoS-Angriffe (Denial of Service) auf die Server von Synology oder Anwendern
    2. .
  2. Tests auf Sicherheitslücken, die sich nachteilig auf die Server oder Daten von Synology oder den Benutzern auswirken
  3. Physikalische Angriffe oder Social Engineering
  4. Weitergabe von Fehlerinformationen vor der Genehmigung durch Synology
  5. Nicht kritische Schwachstellen in veralteten Diensten oder Produkten
  6. Schwachstellen, die nur veraltete Webbrowser betreffen
  7. Die meisten Arten von Brute-Force-Angriffen
  8. Reflektierte XSS-Angriffe oder Self-XSS-Angriffe
  9. Schwachstellen, die Phishing, die Erstellung von gefälschten Websites oder Betrug beinhalten
  10. Berichte über Schwachstellen-Scans, die keine detaillierten Angaben zu den Auswirkungen der Schwachstelle enthalten
  11. Hinweise, dass Standard-Ports verwundbar sind, ohne jedoch einen PoC zu liefern

*Meldungen zu Kamera-Firmware, SRM LAN und Cross-Site-Scripting können mit einer Prämie von bis zu 10.000 US-Dollar, 5.000 US-Dollar bzw. 2.600 US-Dollar honoriert werden.

Software und C2 Cloud Dienste

Prämie

Qualifizierte Meldungen können mit einer Prämie von bis zu 10.000 US-Dollar honoriert werden.*

Produkte im Geltungsbereich

Es werden nur Berichte über offiziell herausgegebene Versionen akzeptiert.

Pakete

Von Synology entwickelte Softwarepakete

Desktop-Clients

Von Synology entwickelte Windows-, macOS- und Linux-Anwendungen

Mobile Apps

Von Synology entwickelte mobile Anwendungen für Android und iOS

Synology Konto

  • *.konto.synology.de-Domänen
  • *.identity.synology.com-Domains

C2-Dienste

*.c2.synology.com-Domains

Regelungen und Einschränkungen

Dieses Programm ist auf Sicherheitslücken beschränkt, die in Synology Produkten und Dienstleistungen gefunden wurden. Aktionen, die möglicherweise Synology Server oder Daten beschädigen oder nachteilig beeinflussen könnten, sind strengstens untersagt. Die Schwachstellentests dürfen nicht gegen lokale oder taiwanesische Gesetze verstoßen.

Nicht für das Programm qualifiziert sind Berichte die die folgende Sicherheitslücken beschreiben oder beinhalten:

  1. DoS-Angriffe (Denial of Service) auf die Server von Synology oder Anwendern
    2. .
  2. Tests auf Sicherheitslücken, die sich nachteilig auf die Server oder Daten von Synology oder den Benutzern auswirken
  3. Physikalische Angriffe oder Social Engineering
  4. Weitergabe von Fehlerinformationen vor der Genehmigung durch Synology
  5. Nicht kritische Schwachstellen in veralteten Diensten oder Produkten
  6. Schwachstellen, die nur veraltete Webbrowser betreffen
  7. Die meisten Arten von Brute-Force-Angriffen
  8. Reflektierte XSS-Angriffe oder Self-XSS-Angriffe
  9. Schwachstellen, die Phishing, die Erstellung von gefälschten Websites oder Betrug beinhalten
  10. Berichte über Schwachstellen-Scans, die keine detaillierten Angaben zu den Auswirkungen der Schwachstelle enthalten
  11. Hinweise, dass Standard-Ports verwundbar sind, ohne jedoch einen PoC zu liefern

*Meldungen zu Desktop-Client und Cross-Site-Scripting (CSP umgehen) können mit bis zu 5.000 US-Dollar bzw. 1.350 US-Dollar honoriert werden.

Webdienste

Prämie

Qualifizierte Meldungen können mit einer Prämie von bis zu 5.000 US-Dollar honoriert werden.*

Produkte im Geltungsbereich

Die folgenden Domains (einschließlich Sub-Domains) sind im Geltungsbereich:

*.synology.com

Die folgenden Domains (einschließlich Sub-Domains) sind außerhalb des Geltungsbereichs:

openstack-ci-logs.synology.com, router.synology.com, order.synology.com

Synology behält sich das Recht vor, diese Liste jederzeit und ohne Vorankündigung zu ändern.

Regelungen und Einschränkungen

Dieses Programm ist auf Sicherheitsschwachstellen beschränkt, die in Synology Produkten und Diensten gefunden wurden. Aktionen, die möglicherweise Synology Server oder Daten beschädigen oder nachteilig beeinflussen könnten, sind strengstens untersagt. Die Schwachstellentests dürfen nicht gegen lokale oder taiwanesische Gesetze verstoßen.

Nicht für das Programm qualifiziert sind Berichte die die folgende Sicherheitslücken beschreiben oder beinhalten:

  1. DoS-Angriffe (Denial of Service) auf die Server von Synology oder Anwendern
    2. .
  2. Tests auf Sicherheitslücken, die sich nachteilig auf die Server oder Daten von Synology oder den Benutzern auswirken
  3. Physikalische Angriffe oder Social Engineering
  4. Weitergabe von Fehlerinformationen vor der Genehmigung durch Synology
  5. Nicht kritische Schwachstellen in veralteten Diensten oder Produkten
  6. Schwachstellen, die nur veraltete Webbrowser betreffen
  7. Die meisten Arten von Brute-Force-Angriffen
  8. Reflektierte XSS-Angriffe oder Self-XSS-Angriffe
  9. Schwachstellen, die Phishing, die Erstellung von gefälschten Websites oder Betrug beinhalten
  10. Berichte über Schwachstellen-Scans, die keine detaillierten Angaben zu den Auswirkungen der Schwachstelle enthalten
  11. Hinweise, dass Standard-Ports verwundbar sind, ohne jedoch einen PoC zu liefern

*Meldungen zu Cross-Site-Scripting können mit einer Prämie von bis zu 725 US-Dollar honoriert werden.

Bedingungen für die Vergabe einer Prämie

Bitte geben Sie alle Informationen an, die wir benötigen, um die gemeldeten Probleme zu reproduzieren. Die Höhe der einzelnen Prämien hängt von der Schwere der gemeldeten Sicherheitslücke und der betroffenen Produktkategorie ab.

Um sich für eine Prämie zu qualifizieren, müssen die Berichte die folgenden Kriterien erfüllen:

  1. Sie sind der erste Entwickler, der die jeweilige Sicherheitslücke meldet (Nur Berichte in englischer Sprache haben die Chance sich für eine Prämie zu qualifizieren)
  2. Die gemeldete Sicherheitslücke ist nachweislich verifizierbar, reproduzierbar und ein relevantes Sicherheitsproblem
  3. Ihre Meldung entspricht den Bedingungen und Bestimmungen des Prämienprogramms

Meldung von Sicherheitslücken

Wenn Sie glauben, eine Sicherheitslücke gefunden zu haben, führen Sie bitte die folgenden Schritte aus:

Schritt 1

Kontaktieren Sie uns über das Kontaktformular für das Bounty-Programm.

Schritt 2

Verwenden Sie diesen PGP-Schlüssel, um Ihre Informationen zu verschlüsseln, wenn Sie Fehlerberichte an Synology senden.

Schritt 3

Fügen Sie einen detaillierten PoC (Proof of Concept) bei und stellen Sie sicher, dass die gemeldeten Probleme reproduziert werden können.

Schritt 4

Wir empfehlen Ihnen, die Informationen kurz und bündig zu halten. So wird beispielsweise ein kurzer PoC-Link höher bewertet als ein Video, in dem die Folgen eines SSRF-Problems erklärt werden.

Ihre und unsere Verantwortung

Ihr Bericht

Helfen Sie uns, die Bearbeitungszeit zu verkürzen. Achten Sie darauf, dass Ihr Bericht:

  1. Eine klare Schritt-für-Schritt-Beschreibung zur Reproduktion der Schwachstelle enthält. Der Bericht muss in englischer Sprache verfasst sein.
  2. Aufzeigt, wie die Sicherheitslücke Synology Produkte oder Webdienste beeinträchtigt und beschreibt, welche Versionen und Plattformen betroffen sind.
  3. Den potenziellen Schaden erläutert, der durch die festgestellte Schwachstelle verursacht wird / werden könnte.

Unsere Antwort

Das Synology Sicherheitsteam wird innerhalb von 7 Tagen auf Ihre Meldung reagieren und die Schwachstelle, je nach Schwere der Bedrohung, so schnell wie möglich beheben.

Qualifiziert sich Ihr Schwachstellen-Bericht für eine Prämie, wird Ihr Name als Zeichen unserer Dankbarkeit und Wertschätzung auf der Synology Product Security Advisory Seite aufgeführt.

Dieser Vorgang wird voraussichtlich mindestens 90 Tage in Anspruch nehmen. Ihre Prämie wird Ihnen nach Abschluss des Prüfverfahrens überwiesen.

Anmerkungen:

  1. Synology behält sich das Recht vor, dieses Programm, einschließlich seiner Richtlinien, jederzeit und ohne vorherige Ankündigung zu ändern oder zu beenden.

FAQ

Wie sollte ich eine Sicherheitslücke melden?

Wer entscheidet, ob meine Meldung für eine Belohnung in Frage kommt?

Welche Folgen hat es, wenn der Fehler öffentlich gemacht wird, bevor er behoben ist?

Sind Sicherheitslücken, die in veralteter Software wie Apache oder Nginx gefunden werden, für eine Belohnung qualifiziert?

Kann ich angeben, dass mein Name nicht auf der Seite mit den Sicherheitshinweisen von Synology aufgeführt werden soll?

Sind Schwachstellen immer noch für eine Prämie qualifiziert, wenn sie an Schwachstellen-Broker gemeldet werden?

Wem steht die Prämie zu, wenn derselbe Fehler von mehr als einer Person gemeldet wird?

Danksagung

Wir ziehen unseren Hut vor allen Sicherheitsexperten und Institutionen, die uns in der Vergangenheit geholfen haben. Vielen Dank!

  • Khoadha from VCSLab of Viettel Cyber Security ( https://viettelcybersecurity.com/)
  • Tim Coen (https://security-consulting.icu/)
  • Mykola Grymalyuk from RIPEDA Consulting
  • Zhao Runzi (赵润梓)
  • Andrea Maugeri (https://www.linkedin.com/in/andreamaugeri)
  • Offensive Security Research @ Ronin (https://ronin.ae/)
  • Nathan (Yama) https://DontClickThis.run
  • Endure Secure (https://endsec.au)
  • Stephen Argent (https://www.runby.coffee/)
  • Qian Chen (@cq674350529) from Codesafe Team of Legendsec at QI-ANXIN Group
  • Jan Kopřiva of Nettles Consulting (https://www.nettles.cz/security/)
  • Andrej Zaujec (https://www.linkedin.com/in/andrej-zaujec-24ba07158/)
  • chumen77 from WeBin Lab of DbappSecurity Co.,Ltd.
  • Bruce Chen (https://twitter.com/bruce30262)
  • aoxsin (https://twitter.com/aoxsin)
  • Armanul Miraz
  • Jaehoon Jang, STEALIEN (https://stealien.com)
  • Jangwoo Choi, HYEONJUN LEE, SoYeon Kim, TaeWan Ha, DoHwan Kim (https://zrr.kr/SWND)
  • Jaehoon Jang, Wonbeen Im, STEALIEN (https://stealien.com)
  • Tomer Goldschmidt and Sharon Brizinov of Claroty Research - Team82
  • Vo Van Thong of GE Security (VNG) (https://www.linkedin.com/in/thongvv3/)
  • Hussain Adnan Hashim (https://www.linkedin.com/in/hussain0x3c)
  • TEAM.ENVY (https://team-envy.gitbook.io/team.envy/about-us)
  • Tim Coen (https://security-consulting.icu)
  • TEAM TGLS (Best of the Best 12th) (https://zrr.kr/SWND)
  • Zhao Runzi (赵润梓)
  • Kevin Wang (https://twitter.com/kevingwn_ )
  • Shubham Kushwaha/ meenakshi Maurya (https://github.com/anabelle666)
  • Safwat Refaat (@Caesar302)
  • Jeffrey Baker (www.Biznet.net)
  • Monisha N (https://www.linkedin.com/in/monisha-nagaraj-321524218/)
  • Ravi (https://twitter.com/itsrvsinghh)
  • remonsec (https://twitter.com/remonsec)
  • TheLabda (https://thelabda.com)
  • Grant Kellie (https://www.linkedin.com/in/grant-kellie-54a23b238/)
  • pulla karthik srivastav (https://www.linkedin.com/in/karthik-srivastav-680359192)
  • Muhammad Tanvir Ahmed https://www.facebook.com/tohidulislam.tanvir.948
  • Eugene Lim, Government Technology Agency of Singapore (https://spaceraccoon.dev)
  • Laurent Sibilla (https://www.linkedin.com/in/lsibilla/)
  • Thomas Werschlein (https://www.linkedin.com/in/thomas-werschlein-2293384b)
  • Sivanesh kumar (https://twitter.com/sivanesh_hacker)
  • Davis Chang. (https://www.linkedin.com/in/hong-tsun-davis-chang/)
  • @aoxsin (https://twitter.com/aoxsin)
  • Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
  • Hasibul Hasan Shawon (@Saiyan0x01)
  • Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
  • Zain Iqbal (https://www.linkedin.com/in/zain-iqbal-971b76254/)
  • Lukas Kupczyk, CrowdStrike Intelligence
  • Tomasz Szczechura (https://www.linkedin.com/in/tomasz-szczechura-5189098b/)
  • Zhao Runzi (赵润梓)
  • Qian Chen (@cq674350529) from Codesafe Team of Legendsec at Qi'anxin Group
  • Patrik Fabian (https://websafe.hu)
  • Eugene Lim, Government Technology Agency of Singapore (https://spaceraccoon.dev)
  • Jeenika Anadani (https://twitter.com/j33n1k4)
  • waterpeitw (https://zeroday.hitcon.org/user/waterpeitw)
  • Milan katwal (https://www.milankatwal.com.np/)
  • N S R de Rooy (https://www.linkedin.com/in/norbert-de-rooy-9b24527/)
  • Christian Tucci (https://www.linkedin.com/in/christian-tucci/)
  • Ravindra Dagale (https://www.linkedin.com/in/ravindra-dagale-5b0913151/)
  • Sanket Anil Ambalkar (https://www.linkedin.com/in/sanket-ambalkar-70211518b/)
  • Chirag Agrawal (https://www.linkedin.com/in/chirag-agrawal-770488144/)
  • Yimi Hu@baidu.com
  • Raman R Mohurle (https://twitter.com/Raman_Mohurle)
  • cmj (http://blog.cmj.tw/)
  • Parth Manek
  • Patrick Williams (https://www.linkedin.com/in/patrick-williams-6992b4104/)
  • Amaranath Moger (https://www.linkedin.com/in/amaranath-moger/)
  • Dennis Herrmann (Code White GmbH)
  • Siddharth Parashar (https://www.linkedin.com/in/siddharth-parashar-b2a21b1b5/)
  • Sahil Soni (https://twitter.com/sahil__soni_18?s=08)
  • Hasibul Hasan Shawon -[Sec Miner's Bangladesh]
  • Devender Rao (https://www.linkedin.com/in/devender-rao)
  • RAJIB BAR (https://www.linkedin.com/in/rajib-bar-rjb-b3683314b)
  • Atharv Shejwal (https://kongsec.io)
  • Xavier DANEST (https://sustainability.decathlon.com/)
  • Aditya Shende (http://kongsec.io)
  • Andreas Rothenbacher (https://error401.de)
  • Rachit Verma @b43kd00r (https://www.linkedin.com/in/b43kd00r/)
  • Suraj SK (https://www.linkedin.com/in/suraj-sk/)
  • Simon Effenberg (https://www.linkedin.com/in/simon-effenberg)
  • Niraj Mahajan (https://www.linkedin.com/in/niraj1mahajan)
  • Ayush Pandey (https://www.linkedin.com/in/ayush-pandey-148797175)
  • Sivanesh kumar D (https://twitter.com/sivanesh_hacker?s=09)
  • Touhid Shaikh (https://securityium.com/)
  • N Krishna Chaitanya (https://www.linkedin.com/in/n-krishna-chaitanya-27926aba/)
  • Ayush Mangal (https://www.linkedin.com/in/ayush-mangal-48a168110)
  • Tameem Khalid (https://www.linkedin.com/in/tameem-khalid-641a4b192/)
  • ddaa of TrapaSecurity (https://twitter.com/0xddaa)
  • Praveen Kumar
  • Oscar Spierings (https://polyform.dev)
  • Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
  • swings of Chaitin Security Research Lab
  • Hasibul Hasan Rifat (https://twitter.com/rifatsec)
  • Lanni
  • Yeshwanth (https://www.linkedin.com/in/yeshwanth-b-4a560b202)
  • Darshan Sunil jogi (https://www.linkedin.com/in/darshan-jogi-9450431b6/)
  • Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
  • Lanni
  • Swapnil Patil (https://www.linkedin.com/in/swapnil-patil-874223195)
  • Vladislav Akimenko (Digital Security) (https://dsec.ru)
  • Muhammad Junaid Abdullah (https://twitter.com/an0n_j)
  • Claudio Bozzato of Cisco Talos (https://talosintelligence.com/vulnerability_reports/)
  • Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
  • Aditya Soni (https://www.linkedin.com/in/adtyasoni)
  • Mansoor Amjad (https://twitter.com/TheOutcastCoder)
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady)
  • James Smith (Bridewell Consulting) (https://bridewellconsulting.com)
  • Kinshuk Kumar (https://www.linkedin.com/in/kinshuk-kumar-4833551a1/)
  • Amit Kumar (https://www.linkedin.com/in/amit-kumar-9853731a4)
  • Mehedi Hasan Remon (twitter.com/remonsec)
  • Joshua Olson (www.linkedin.com/in/joshua-olson-cysa)
  • Vaibhav Rajeshwar Atkale(https://twitter.com/atkale_vaibhav)
  • Mohammed Eldawody (www.fb.com/eldawody0)
  • YoKo Kho (https://twitter.com/YoKoAcc)
  • Satyajit Das (https://www.linkedin.com/in/mrsatyajitdas)
  • Tinu Tomy (https://twitter.com/tinurock007)
  • Aniket Bhutani (https://www.linkedin.com/in/aniket-bhutani-6ba979192/)
  • Anurag Muley (https://www.linkedin.com/in/ianuragmuley/)
  • Howard Ching (https://www.linkedin.com/in/howard-ching-rhul/)
  • Janmejaya Swain (https://www.linkedin.com/in/janmejayaswainofficial)
  • Ahmad Firmansyah (https://twitter.com/AhmdddFsyaaah)
  • Agrah Jain (www.linkedin.com/in/agrahjain)
  • Shivam Kamboj Dattana (https://www.linkedin.com/in/sechunt3r/)
  • Pratik Vinod Yadav (https://twitter.com/PratikY9967)
  • Akshaykumar Kokitkar (https://mobile.twitter.com/cyber_agent2)
  • Shesha Sai C (https://www.linkedin.com/in/shesha-sai-c-18585b125)
  • Yash Agarwal (https://www.linkedin.com/in/yash-agarwal-17464715b)
  • Jan KOPEC(https://twitter.com/blogresponder)
  • Denis Burtanović
  • Hasibul Hasan Shawon -[Sec Miner's Bangladesh]
  • R Atik Islam (https://www.facebook.com/atik.islam.14661)
  • Jose Israel Nadal Vidal (https://twitter.com/perito_inf)
  • Thomas Grünert (https://de.linkedin.com/in/thomas-gr%C3%BCnert-250905168)
  • Matteo Bussani (https://www.linkedin.com/in/matteo-bussani-77b595198/)
  • Bing-Jhong Jheng (https://github.com/st424204/ctf_practice)
  • Swapnil Patil (https://www.linkedin.com/in/swapnil-patil-874223195)
  • Prakash Kumar Parthasarathy (https://www.linkedin.com/in/prakashofficial)
  • Kitab Ahmed (www.ahmed.science)
  • Ahmad Firmansyah (https://twitter.com/AhmdddFsyaaah)
  • Tiziano Di Vincenzo (https://www.linkedin.com/in/tiziano-d-3324a345/)
  • Pratik Vinod Yadav (https://www.linkedin.com/in/pratik-yadav-117463149)
  • Diwakar Kumar (https://www.linkedin.com/in/diwakar-kumar-5b3843114/)
  • Rushi Gayakwad
  • Yash Ahmed Quashim (https://www.facebook.com/abir.beingviper)
  • Swapnil Kothawade (https://twitter.com/Swapnil_Kotha?s=09)
  • Ankit Kumar (https://www.linkedin.com/in/ankit-kumar-42a644166/)
  • Aman Rai (https://www.linkedin.com/in/aman-rai-737a19146)
  • Rushikesh Gaikwad (https://www.linkedin.com/in/rushikesh-gaikwad-407163171)
  • Rupesh Tanaji Kokare (https://www.linkedin.com/in/rupesh-kokare-b63a78145/)
  • Sumit Jain (https://twitter.com/sumit_cfe)
  • Qian Chen of Qihoo 360 Nirvan Team
  • Vishal Vachheta (https://www.linkedin.com/in/vishal-vachheta-a30863122)
  • Zhong Zhaochen
  • Tomasz Grabowski
  • Nightwatch Cybersecurity Research (https://wwws.nightwatchcybersecurity.com)
  • Safwat Refaat (https://twitter.com/Caesar302)
  • Agent22 (https://securelayer7.net/)
  • Hsiao-Yung Chen
  • Rich Mirch (https://blog.mirch.io)
  • Ronak Nahar (https://www.linkedin.com/in/naharronak/)
  • Noman Shaikh (https://twitter.com/nomanAli181)
  • David Deller (https://horizon-nigh.org)
  • Mehedi Hasan (SecMiners BD) (https://www.facebook.com/polapan.1337)
  • Touhid M Shaikh (https://touhidshaikh.com)
  • Abhishek Gaikwad
  • Kitabuddin Ahmed
  • Noman Shaikh (https://twitter.com/nomanAli181)
  • Ajit Sharma (https://www.linkedin.com/in/ajit-sharma-90483655)
  • Agung Saputra Ch Lages (https://twitter.com/lagesgeges)
  • Dan Thomsen (www.thomsen.fo)
  • Erik de Jong (https://eriknl.github.io)
  • Sphinx 1,2 (https://www.facebook.com/Sphinx01.10/)
  • AHMED ELSADAT (https://www.linkedin.com/in/ahmed-elsadat-138755133/)
  • Hasibul Hasan (SecMiner)
  • Mohammed Eldawody (www.fb.com/eldawody0)
  • Chris Schneider
  • Abdullah Fares Muhanna (https://www.facebook.com/AbedullahFares)
  • Nick Blyumberg (https://www.linkedin.com/in/nickblyumberg/)
  • Axel Peters
  • Muhammad Junaid Abdullah (https://twitter.com/an0n_j)
  • Kyle Green
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady)
  • Dankel Ahmed (https://hackerone.com/kitab)
  • ShuangYY
  • HackTrack Security
  • Muhammed Ashmil K K (Kavuthukandiyil)
  • Muhammad Junaid Abdullah (https://twitter.com/snoviboy)
  • Kishan kumar (https://facebook.com/noobieboy007)
  • Lays (http://l4ys.tw)
  • Ashish Kumar (https://www.facebook.com/buggyashish)
  • Lakshay Gupta (http://linkedin.com/in/lakshay-gupta-44102a143)
  • Meng-Huan Yu (https://www.linkedin.com/in/cebrusfs/)
  • Ifrah Iman (http://www.ifrahiman.com)
  • Mohammed Israil (https://www.facebook.com/VillageLad, https://www.linkedin.com/in/mohammed-israil-221656128)
  • Taien Wang (https://www.linkedin.com/in/taienwang/)
  • Emad Shanab (@Alra3ees) (https://twitter.com/Alra3ees?s=09)
  • குகன் ராஜா (Havoc Guhan) (https://fb.com/havocgwen)
  • Yasser Gersy (https://twitter.com/yassergersy)
  • Ismail Tasdelen (https://www.linkedin.com/in/ismailtasdelen)
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady)
  • Oliver Kramer (https://www.linkedin.com/in/oliver-kramer-670206b5)
  • 1N3@CrowdShield (https://crowdshield.com)
  • louys, Xie Wei (解炜), Li Yanlong (李衍龙)
  • Zuo Chaoshun (https://www.linkedin.com/in/chaoshun-zuo-5b9559111/)
  • Ali Razzaq (https://twitter.com/AliRazzaq_)
  • 丁諭祺(Yu-Chi Ding) from DEVCORE CHROOT
  • Alex Weber (www.broot.ca)
  • Alex Bastrakov (https://twitter.com/kazan71p)
  • Mehidia Tania (https://www.beetles.io)
  • freetsubasa (https://twitter.com/freetsubasa)
  • Łukasz Rutkowski (http://www.forit.pl/)
  • Maximilian Tews (www.linkedin.com/in/maximilian-tews)
  • Bryan Galao (https://www.facebook.com/xbryan.galao)
  • Jim Zhou (vip-cloud.cn)
  • Chun Han Hsiao
  • Nightwatch Cybersecurity Research (https://wwws.nightwatchcybersecurity.com)
  • Olivier Bédard
  • Mohamed Eldawody (https://www.facebook.com/Eldawody0)
  • Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
  • 郑吉宏通过 GeekPwn 平台提交
  • Independent Security Evaluators (ISE) labs
  • Independent security researcher, MengHuan Yu, has reported this vulnerability to Beyond Security’s SecuriTeam Secure Disclosure program
  • B.Dhiyaneshwaran (https://www.linkedin.com/in/dhiyaneshwaran-b-27947a131/)
  • Freiwillige Feuerwehr Rohrbach (www.ff-rohrbach.de)
  • Uriya Yavnieli from VDOO (https://vdoo.com)
  • Jung Chan Hyeok
  • Zhong Zhaochen (http://asnine.com)
  • Honc 章哲瑜 (https://www.facebook.com/you.toshoot)
  • Sumit Jain
  • Ketankumar B. Godhani (https://twitter.com/KBGodhani)
  • karthickumar (Ramanathapuram)
  • Alireza Azimzadeh Milani
  • Taien Wang (https://www.facebook.com/taien.tw)
  • Frédéric Crozat (http://blog.crozat.net/)
  • Muhammad Hassaan Khan (https://www.facebook.com/Profile.Hassaan)
  • SSD/Kacper Szurek
  • Alexander Drabek (https://www.2-sec.com/)
  • RAVELA PRAMOD KUMAR (https://mobile.twitter.com/PramodRavela)
  • Kushal Arvind Shah of Fortinet’s FortiGuard Labs
  • Alvin Poon (https://alvinpoon.myportfolio.com/)
  • C.shahidyan, C.Akilan, K.Sai Aswanth
  • BambooFox (https://bamboofox.github.io/)
  • Sajibe Kanti (https://twitter.com/sajibekantibd)
  • Huy Kha (linkedin.com/in/huykha)
  • Pal Patel (https://www.linkedin.com/in/pal434/)
  • Pethuraj M (https://www.linkedin.com/in/pethu/)
  • Ali Ashber (https://www.facebook.com/aliashber7)
  • Muzammil Abbas Kayani (@muzammilabbas2 )
  • Tayyab Qadir (facebook.com/tqMr.EditOr)
  • Babar Khan Akhunzada (www.SecurityWall.co)
  • Mahad Ahmed (https://octadev.com.pk)
  • JD Duh (blog.johndoe.tw, www.linkedin.com/in/JD-Duh)
  • Mubassir Kamdar (http://www.mubassirkamdar.com)
  • Daniel Díez Tainta (https://twitter.com/danilabs)
  • Tushar Rawool (twitter.com/tkrawool)
  • Thrivikram Gujarathi (https://www.linkedin.com/in/thrivikram-gujarathi-certified-ethical-hacker-bug-bounty-hunter-53074796)
  • Ashish Kunwar (twitter: @D0rkerDevil)
  • Steven Hampton (Twitter: @Keritzy, https://stevenh.neocities.org/)
  • Peter Bennink (https://www.linkedin.com/in/peter-bennink/)
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady/)
  • Roopak Voleti (https://m.facebook.com/sairoopak.voleti)