zurück zum Artikel

Bug-Bounty-Programm: Qnap-NAS knacken und 20.000 US-Dollar bekommen

Dennis Schirrmacher

(Bild: vectorfusionart/Shutterstock.com)

Der Hersteller von Netzwerkhardware Qnap belohnt ab sofort Sicherheitsforscher, die Schwachstellen in etwa NAS-Geräten aufdecken.

Dank eines frisch gestarteten Bug-Bounty-Programms belohnt Qnap Finder von Sicherheitslücken in bestimmten Produkten und Diensten des Herstellers. Maximal winken 20.000 US-Dollar als Belohnung.

Lukratives Hacking für die Sicherheit

Wie aus einem Beitrag hervorgeht [1], können sich Sicherheitsforscher auf Netzwerkspeicher (NAS) stürzen und die Betriebssysteme QTS 5.0.1, QuTS hero h5.0.1 und QuTScloud c5.0.x in die Mangel nehmen. Dafür bekommen Lücken-Finder bis zu 20.000 US-Dollar.

Außerdem können Sicherheitsforscher Applikationen wie Helpdesk, Qboost und Photo Station ins Visier nehmen. Hier sind maximal 10.000 US-Dollar zu holen. Cloud-Services wie myqnapcloud.com fallen auch unter das Bug-Bounty-Programm. Hier gibt es bis zu 5000 US-Dollar.

Qnap zählt auch auf, für welche Attacken es keine Belohnungen gibt: Darunter fallen etwa DoS-Attacken auf Qnap-Server oder Social-Engineering-Angriffe. Weitere Voraussetzungen und Regeln für eine erfolgreiche Teilnahme an dem Programm führt der Hersteller in einem Beitrag auf [2]. So dürfen Sicherheitsforscher etwa keine Gesetze oder Copyright-Ansprüche verletzen. Obendrein müssen Funde vor einer Veröffentlichung vertraulich an Qnap mitgeteilt werden.

In der jüngsten Vergangenheit sorgten NAS-Geräte des Herstellers immer wieder für Schlagzeilen. Unter anderem haben es Erpressungstrojaner auf Geräte abgesehen [3]. Offensichtlich installieren nicht alle Besitzer Sicherheitsupdates zeitnah, da Sicherheitsforscher im Januar 2023 auf zehntausende über das Internet erreichbare verwundbare Netzwerkspeicher gestoßen sind [4].

Lesen Sie auch

(des [5])

URL dieses Artikels:
https://www.heise.de/-7530361

Links in diesem Artikel:
[1] https://www.qnap.com/en/security-bounty-program/#scope
[2] https://www.qnap.com/en/legal/qnap-security-bounty-program-terms-and-conditions
[3] https://www.heise.de/news/Ransomware-Checkmate-Qnap-warnt-vor-Angriffen-7166009.html
[4] https://www.heise.de/news/Jetzt-patchen-Zehntausende-Qnap-NAS-haengen-verwundbar-am-Internet-7477826.html
[5] mailto:des@heise.de

Copyright © 2023 Heise Medien