Programa de Recompensas por Errores
La seguridad es una colaboración. Informa de los fallos y sé recompensado.
Tipos de vulnerabilidad
Críticos
Negocios importantes
Hasta 10.000 $*
Empresas generales
Hasta 5.000$*
Empresas punteras
Hasta 2.500 $*
*Podemos pagar más por los informes de errores críticos en función de cada caso.
Los problemas de gravedad crítica suponen un enorme riesgo para nuestros clientes o para el propio Deriv. A menudo afectan a componentes de nivel relativamente bajo en nuestra infraestructura. Por ejemplo:
- Ejecución arbitraria de código/comando en un servidor de nuestra red de producción
- Consultas arbitrarias en una base de datos de producción
- Evitar nuestro proceso de inicio de sesión, ya sea con contraseña o con 2FA
- Acceso a los datos sensibles de los usuarios de producción y a los sistemas internos de producción
- Vulnerabilidades relacionadas con los pagos que podrían provocar pérdidas a nuestros clientes y a la empresa
Altas
Negocios importantes
Hasta 5.000 $
Empresas generales
Hasta 2.500$
Empresas punteras
Hasta 1.000$
Los problemas de alta gravedad suelen tener un alcance más limitado que los problemas críticos, pero pueden exponer datos sensibles del cliente y de la empresa a los atacantes. Por ejemplo:
- Secuencias cruzadas de comandos en el servidor (XSS) que eluden la política de seguridad de contenidos (CSP)
- La capacidad de eludir la verificación, iniciar sesión en las cuentas o dispositivos de los clientes, extraer datos sensibles de los clientes y realizar acciones sin consentimiento.
- Obtener acceso al código del back-end, a las cookies de la sesión interna o a otra información sensible
- Explotación de problemas de lógica interactiva que pueden causar pérdidas a los clientes
Medio
Negocios importantes
Hasta 500$
Empresas generales
Hasta 250$
Empresas punteras
Hasta 100 $
Los problemas de gravedad media permiten a los atacantes obtener acceso no autorizado para leer o modificar una cantidad limitada de datos sensibles. Estos datos suelen ser menos sensibles que los expuestos por los problemas de gravedad alta. Por ejemplo:
- La posibilidad de acceder a una parte limitada de la información sensible de los clientes, a nuestro código back-end o a la información interna en GitHub
- XSS que no elude el CSP y no ejecuta acciones no autorizadas en la sesión de otro usuario
- Falsificación de peticiones entre sitios y del lado del servidor (sin acceso a nuestra red interna)
- Adquisición de subdominios
Bajo
Recompensaremos los informes sobre vulnerabilidades de bajo nivel solo si nos ayudan a solucionar problemas de seguridad graves, y decidiremos el importe de la recompensa en función de cada caso.
Los problemas de baja gravedad exponen una cantidad de datos extremadamente limitada. Pueden violar una expectativa de cómo se pretende que funcione algo, pero sin escalada de privilegios o la capacidad de desencadenar un comportamiento no deseado. Por ejemplo:
- Activación de páginas de error de depuración sin prueba de explotabilidad u obtención de información sensible
- Falsificación de solicitudes en sitios cruzados (no crítico)
- Las vulnerabilidades dependían de escenarios o condiciones previas difíciles
- Registros expuestos sin información sensible