Bug-Bounty-Programm

Sicherheit ist eine Zusammenarbeit. Meldet Bugs und werdet belohnt.

Über Deriv

Wir bieten Online-Handelsdienstleistungen für über 2 Millionen Kunden über Desktop- und Mobilanwendungen auf mehreren Plattformen an.

Sicherheit ist uns wichtig. Wir verbessern unsere Produkte und Dienstleistungen kontinuierlich, indem wir mit unabhängigen Sicherheitsforschern weltweit zusammenarbeiten.

Send us an email with the report of a bug you found on Deriv trading platforms or apps.

Umfang

In diesem Programm sind nur Deriv-Assets abgedeckt. Wenn Sie Fehler in Apps von Drittanbietern entdecken, melden Sie diese bitte den jeweiligen Eigentümern. Sie können Fehlerberichte einreichen, die sich auf die folgenden Aspekte unseres Geschäfts beziehen:

Wichtige Unternehmen

Unsere Zahlungsseite: cashier.deriv.com

Unsere Login-Seite: oauth.deriv.com

Unsere WebSockets-API: *.binaryws.com api.deriv.com

Unsere Haupthandelsplattform: app.deriv.com *

* Dies deckt nur die von Deriv abgewickelten Funktionalitäten ab

Unsere alte Handelsplattform: smarttrader.deriv.com

Allgemeine Geschäfte

Unsere GitHub-Repositorys:

github.com/binary-com

Unsere CFD-Handelsanwendung von Devexperts: dx.deriv.com

Deriv P2P: Unsere Peer-to-Peer-Zahlungs-App (Android-App, iOS-App)

Deriv GO: Unsere Optionshandels-App (Android-App, iOS-App)

Deriv X: Unsere CFD-Handels-App von DevExperts (Android-App, iOS-App)

Unsere Website für Marketingkampagnen: trade.deriv.com (Drittanbieter)

Edge businesses

Unsere Seite für statische Ressourcen: static.deriv.com

Unsere Tracking-Seite: t.deriv.com

Unser FIX-Feedserver für Deriv X: fix.deriv.com

Unsere internen Apps: *.deriv.cloud

Unsere Weblog-Adresse: https://deriv.com/academy/

The following third-party apps are not covered in this program:

Unsere Charting-Seite: tradingview.deriv.com

Unsere Website für das Graduiertenprogramm: besquare.deriv.com

Unsere CFD-Handelsplattform von MetaQuotes: trade.mql5.com

Unsere Community-Seite: community.deriv.com

Sicherheitslücken außerhalb des Bereichs

Clickjacking auf Seiten ohne sensible Aktionen

Site-übergreifende Anforderungsfälschung (CSRF) auf nicht authentifizierten Formularen oder Formularen ohne sensible Aktionen

Angriffe, die Man in the Middle (MITM) oder physischen Zugriff auf das Gerät eines Benutzers erfordern

Bisher bekannte anfällige Bibliotheken ohne funktionierenden Proof of Concept (PoC)

Offene Weiterleitung — sofern keine zusätzliche Auswirkung auf die Sicherheit nachgewiesen werden kann

Ausgabe von automatisierten Schwachstellenscannern ohne PoC zum Nachweis einer bestimmten Sicherheitsanfälligkeit