Der Produzent von Netzwerkhardware Qnap honoriert ab sofort Sicherheitsforscher und Experten, die Sicherheitslücken in NAS-Geräten aufspüren.
Dank des neu eingeführten Bug-Bounty-Programmes entlohnt Qnap Entdecker von Schwachstellen in Produkten und Diensten des Unternehmens. Das maximale Honorar bei erfolgreicher Aufdeckung einer Sicherheitslücke beträgt 20.000 US-Dollar.
Hacking für die Sicherheit
Eine aktuelle Meldung bestätigt, dass Sicherheitsforscher ab sofort die Netzwerkspeicher (NAS) sowie die Betriebssysteme QTS 5.0.1, QuTS hero h5.0.1 und QuTScloud c5.0.x genauer unter die Lupe nehmen können. Experten, die eine Sicherheitslücke ausfindig machen, erhalten als Belohnung bis zu 20.000 US-Dollar.
Des Weiteren können Sicherheitsexperten Anwendungen wie Helpdesk, Qboost und Photo Station ins Visier nehmen. Bei der Überprüfung der Applikationen lassen sich maximal 10.000 US-Dollar verdienen. Außerdem zählen auch Cloud-Services wie myqnapcloud.com zu dem Bug-Bounty-Programm. Bei erfolgreicher Inspektion dieser Services können Sicherheitsforscher mit bis zu 5.000 US-Dollar entlohnt werden.
Grundlegende Bedingungen
Qnap teilte auch mit, für welche Attacken es keine Belohnung gibt. Dazu zählen beispielsweise DoS-Attacken auf Qnap-Server oder Social-Engineering-Attacken. In einem veröffentlichten Beitrag erläutert das Unternehmen weitere Voraussetzungen und Regelungen für die erfolgreiche Teilnahme an dem neu eingeführten Programm. Die Richtlinien besagen, dass Sicherheitsexperten keine Copyright-Ansprüche oder Gesetze missachten dürfen. Des Weiteren müssen Entdeckungen in Bezug auf eine Schwachstelle zunächst vertraulich an Qnap weitergeleitet werden, bevor eine entsprechende Sicherheitslücke veröffentlicht wird.
In der Vergangenheit zogen Sicherheitsvorfälle bei NAS-Geräten immer wieder die Aufmerksamkeit der Öffentlichkeit auf sich. Unter anderem haben Erpressungstrojaner NAS-Geräte kompromittiert. Im Januar 2023 sind Sicherheitsforscher auf zehntausende über das Internet zugängliche vulnerable Netzwerkspeicher gestoßen, da Nutzer Sicherheitsupdates scheinbar nicht unverzüglich downloaden und installieren.