برنامج مكافأة العلة

الأمن هو تعاون. قم بالإبلاغ عن الأخطاء واحصل على مكافأة.

أنواع نقاط الضعف

حرجة

نشاط تجاري مهم

ما يصل إلى 10,000 دولار *

أعمال عامة

ما يصل إلى 5,000 دولار *

شركة إيدج بيزنس

ما يصل إلى 2,500 دولار *

* قد ندفع مبلغًا أكبر لتقارير الأخطاء الحرجة على أساس كل حالة على حدة.

تمثل مشكلات الخطورة الحرجة خطرًا كبيرًا على عملائنا أو على Deriv نفسها. غالبًا مما يؤثر نسبيا على الشيفرة ذات مستوى واحد في بنيتنا التحتية. على سبيل المثال:

  • تنفيذ الرمز/الأوامر التعسفية على الخادم في شبكة الإنتاج الخاصة بنا
  • استعلامات عشوائية على قاعدة بيانات الإنتاج
  • تجاوز عملية تسجيل الدخول الخاصة بنا، إما كلمة المرور أو 2FA
  • الوصول إلى بيانات مستخدم الإنتاج الحساسة وأنظمة الإنتاج الداخلية
  • نقاط الضعف المتعلقة بالدفع والتي يمكن أن تؤدي إلى خسارة لعملائنا والشركة

مرتفع

نشاط تجاري مهم

ما يصل إلى 5,000 دولار

أعمال عامة

ما يصل إلى 2,500 دولار

شركة إيدج بيزنس

ما يصل إلى 1,000 دولار

عادةً ما تكون المشكلات عالية الخطورة أضيق نطاقًا من المشكلات الحرجة، ولكنها قد تعرض بيانات العميل والشركة الحساسة لخطر الهجوم. على سبيل المثال:

  • البرمجة النصية عبر الخوادم (XSS) التي تتجاوز سياسة أمان المحتوى (CSP)
  • القدرة على تجاوز التحقق وتسجيل الدخول إلى حسابات العملاء أو أجهزتهم واستخراج البيانات الحساسة للعملاء وتنفيذ الإجراءات دون موافقة
  • الوصول إلى التعليمات البرمجية الخلفية أو ملفات تعريف الارتباط الداخلية للجلسة أو غيرها من المعلومات الحساسة
  • استغلال اشكاليات المنطق التفاعلي التي يمكن أن تسبب خسارة للعملاء

متوسط

نشاط تجاري مهم

ما يصل إلى 500 دولار

أعمال عامة

ما يصل إلى 250 دولارًا

شركة إيدج بيزنس

ما يصل إلى 100 دولار

تسمح المشكلات متوسطة الخطورة للمهاجمين بالحصول على وصول غير مصرح به لقراءة أو تعديل كمية محدودة من البيانات الحساسة. عادةً ما تكون هذه البيانات أقل حساسية من البيانات المعرضة لمشكلات شديدة الخطورة. على سبيل المثال:

  • القدرة على الوصول إلى جزء محدود من المعلومات الحساسة للعملاء أو الكود الخلفي أو المعلومات الداخلية على GitHub
  • البرامج النصية عبر الموقع التي لا تتجاوز سياسة الأمن المتبادل ولا تنفذ إجراءات غير مصرح بها في جلسة مستخدم آخر
  • تزوير الطلبات عبر المواقع ومن جانب الخادم (بدون الوصول إلى شبكتنا الداخلية)
  • توَلي المجالات الفرعية

منخفض

سنكافئ التقارير عن الثغرات الأمنية منخفضة المستوى فقط إذا كانت تساعدنا في إصلاح مشكلات الأمن السيبرني الخطيرة، وسنقرر مبلغ المكافأة على أساس كل حالة على حدة.

تعرض المشكلات منخفضة الخطورة كمية محدودة للغاية من البيانات للخطر. قد تغير توقعًا لكيفية عمل شيء ما، ولكن بدون تهديد ميزات معينة أو القدرة على إطلاق سلوك غير مقصود. على سبيل المثال:

  • تشغيل صفحات أخطاء التصحيح دون إثبات قابلية الاستغلال أو الحصول على معلومات حساسة
  • تزوير الطلبات عبر المواقع (غير الحرجة)
  • تعتمد نقاط الضعف على السيناريوهات الصعبة أو الشروط المسبقة
  • سجلات مكشوفة بدون معلومات حساسة