DE
English
Español
Français
Italiano
Polski
Português
Русский
Thai
Tiếng Việt
Türkçe
简体中文
繁體中文
বাংলা
العربية
한국어
Crowdin
Deutsch
Bug-Bounty-Programm
Sicherheit ist eine Zusammenarbeit. Meldet Bugs und werdet belohnt.
Arten von Sicherheitslücken
Kritisch
Wichtiges Geschäft
Bis zu 10.000 $*
Allgemeines Geschäft
Bis zu 5.000 $*
Edge-Geschäft
Bis zu 2.500 $*
* Wir zahlen möglicherweise von Fall zu Fall höher für kritische Fehlerberichte.
Probleme mit kritischem Schweregrad stellen ein enormes Risiko für unsere Kunden oder für Deriv selbst dar. Sie betreffen häufig Komponenten auf relativ niedriger Ebene in unserer Infrastruktur. Zum Beispiel:
- Arbitrary code/command execution on a server in our production network
- Arbitrary queries on a production database
- Bypassing our sign-in process, either password or 2FA
- Accessing sensitive production user data and internal production systems
- Payment-related vulnerabilities that could result in loss to our clients and the company
Hoch
Wichtiges Geschäft
Bis zu 5.000$
Allgemeines Geschäft
Bis zu 2.500$
Edge-Geschäft
Bis zu 1.000$
Probleme mit hohem Schweregrad haben im Allgemeinen einen engeren Umfang als kritische Probleme, können jedoch sensible Kunden- und Unternehmensdaten Angreifern aussetzen. Zum Beispiel:
- Cross-server scripting (XSS) that bypasses content security policy (CSP)
- The ability to bypass verification, log in to clients’ accounts or devices, extract clients’ sensitive data, and perform actions without consent
- Gaining access to back-end code, internal session cookies, or other sensitive information
- Exploiting interactive logic issues that can cause loss to clients
Mittel
Wichtiges Geschäft
Bis zu 500$
Allgemeines Geschäft
Bis zu 250$
Edge-Geschäft
Bis zu 100$
Probleme mit mittlerem Schweregrad ermöglichen es Angreifern, unbefugten Zugriff zu erhalten, um eine begrenzte Menge sensibler Daten zu lesen oder zu ändern. Diese Daten sind normalerweise weniger sensibel als Daten, die durch Probleme mit hohem Schweregrad gefährdet sind. Zum Beispiel:
- The ability to access a limited portion of clients’ sensitive information, our back-end code, or internal information on GitHub
- XSS that does not bypass CSP and does not execute unauthorised actions in another user’s session
- Cross-site and server-side request forgery (without access to our internal network)
- Subdomain takeover
Niedrig
Wir belohnen Berichte über Schwachstellen auf niedriger Ebene nur, wenn sie uns helfen, schwerwiegende Sicherheitsprobleme zu beheben, und wir entscheiden von Fall zu Fall über die Höhe der Belohnung.
Bei Problemen mit geringem Schweregrad wird eine extrem begrenzte Datenmenge offengelegt. Sie können gegen die Erwartung verstoßen, wie etwas funktionieren soll, jedoch ohne Privilegieneskalation oder die Fähigkeit, unbeabsichtigtes Verhalten auszulösen. Zum Beispiel:
- Triggering debug error pages without proof of exploitability or obtaining sensitive information
- Cross-site request forgery (non-critical)
- Vulnerabilities depended on difficult scenarios or pre-conditions
- Exposed logs without sensitive information