বাগ বাউন্টি প্রোগ্রাম

নিরাপত্তা একটি সহযোগিতা। রিপোর্ট বাগ এবং পুরস্কৃত করা।

দুর্বলতার প্রকার

সংকটপূর্ণ

গুরুত্বপূর্ণ ব্যবসা

$10,000 পর্যন্ত*

সাধারণ ব্যবসা

$5,000 পর্যন্ত*

এজ বিজনেস

$2,500 পর্যন্ত*

*আমরা কেস-টু-কেস ভিত্তিতে সমালোচনামূলক বাগ রিপোর্টের জন্য উচ্চতর অর্থ প্রদান করতে পারি।

গুরুতর তীব্রতা সমস্যা আমাদের ক্লায়েন্টদের জন্য বা Deriv নিজেই একটি বিরাট ঝুঁকি উপস্থাপন। তারা প্রায়ই প্রভাবিত অপেক্ষাকৃত নিম্ন স্তরের উপাদান আমাদের অবকাঠামো। উদাহরণস্বরুপ:

  • Arbitrary code/command execution on a server in our production network
  • Arbitrary queries on a production database
  • Bypassing our sign-in process, either password or 2FA
  • Accessing sensitive production user data and internal production systems
  • Payment-related vulnerabilities that could result in loss to our clients and the company

উচ্চ

গুরুত্বপূর্ণ ব্যবসা

5,000 USD পর্যন্ত

সাধারণ ব্যবসা

$2,500 পর্যন্ত

এজ বিজনেস

$1,000 পর্যন্ত

উচ্চ তীব্রতার বিষয়গুলি সাধারণত জটিল সমস্যাগুলির তুলনায় সুযোগের মধ্যে বেশি সংকীর্ণ হয়, তবে তারা আক্রমণকারীদের কাছে সংবেদনশীল ক্লায়েন্ট এবং কোম্পানির ডেটা প্রকাশ করতে পারে। উদাহরণস্বরুপ:

  • Cross-server scripting (XSS) that bypasses content security policy (CSP)
  • The ability to bypass verification, log in to clients’ accounts or devices, extract clients’ sensitive data, and perform actions without consent
  • Gaining access to back-end code, internal session cookies, or other sensitive information
  • Exploiting interactive logic issues that can cause loss to clients

মাঝারি

গুরুত্বপূর্ণ ব্যবসা

$500 পর্যন্ত

সাধারণ ব্যবসা

$250 পর্যন্ত

এজ বিজনেস

$100 পর্যন্ত

মাঝারি তীব্রতার সমস্যাগুলি আক্রমণকারীদের সীমিত পরিমাণে সংবেদনশীল ডেটা পড়তে বা সংশোধন করার জন্য অননুমোদিত অ্যাক্সেস লাভ করতে দেয়। এই তথ্য সাধারণত উচ্চ তীব্রতা সমস্যা দ্বারা উদ্ভাসিত তথ্য তুলনায় কম সংবেদনশীল। উদাহরণস্বরুপ:

  • The ability to access a limited portion of clients’ sensitive information, our back-end code, or internal information on GitHub
  • XSS that does not bypass CSP and does not execute unauthorised actions in another user’s session
  • Cross-site and server-side request forgery (without access to our internal network)
  • Subdomain takeover

নিচু

আমরা নিম্ন-স্তরের দুর্বলতার রিপোর্টগুলিকে শুধু পুরস্কৃত করবো যদি আমাদের গুরুতর নিরাপত্তা সমস্যা সমাধানে সহায়তা করে এবং আমরা কেস-টু-কেস ভিত্তিতে পুরস্কারের পরিমাণ নির্ধারণ করবো।

নিম্ন তীব্রতা সমস্যা একটি অত্যন্ত সীমিত পরিমাণ তথ্য প্রকাশ। তারা হয়তো কোন কিছু কিভাবে কাজ করার উদ্দেশ্যে করা হয় তার একটি প্রত্যাশা লঙ্ঘন করতে পারে, কিন্তু বিশেষাধিকার বৃদ্ধি বা অনিচ্ছাকৃত আচরণকে ট্রিগার করার ক্ষমতা ছাড়াই। উদাহরণস্বরুপ:

  • Triggering debug error pages without proof of exploitability or obtaining sensitive information
  • Cross-site request forgery (non-critical)
  • Vulnerabilities depended on difficult scenarios or pre-conditions
  • Exposed logs without sensitive information