Programa de Recompensas por Errores

La seguridad es una colaboración. Informa de los fallos y sé recompensado.

Tipos de vulnerabilidad

Críticos

Negocios importantes

Hasta 10.000 $*

Empresas generales

Hasta 5.000$*

Empresas punteras

Hasta 2.500 $*

*Podemos pagar más por los informes de errores críticos en función de cada caso.

Los problemas de gravedad crítica suponen un enorme riesgo para nuestros clientes o para el propio Deriv. A menudo afectan a componentes de nivel relativamente bajo en nuestra infraestructura. Por ejemplo:

  • Arbitrary code/command execution on a server in our production network
  • Arbitrary queries on a production database
  • Bypassing our sign-in process, either password or 2FA
  • Accessing sensitive production user data and internal production systems
  • Payment-related vulnerabilities that could result in loss to our clients and the company

Altas

Negocios importantes

Hasta 5.000 $

Empresas generales

Hasta 2.500$

Empresas punteras

Hasta 1.000$

Los problemas de alta gravedad suelen tener un alcance más limitado que los problemas críticos, pero pueden exponer datos sensibles del cliente y de la empresa a los atacantes. Por ejemplo:

  • Cross-server scripting (XSS) that bypasses content security policy (CSP)
  • The ability to bypass verification, log in to clients’ accounts or devices, extract clients’ sensitive data, and perform actions without consent
  • Gaining access to back-end code, internal session cookies, or other sensitive information
  • Exploiting interactive logic issues that can cause loss to clients

Medio

Negocios importantes

Hasta 500$

Empresas generales

Hasta 250$

Empresas punteras

Hasta 100 $

Los problemas de gravedad media permiten a los atacantes obtener acceso no autorizado para leer o modificar una cantidad limitada de datos sensibles. Estos datos suelen ser menos sensibles que los expuestos por los problemas de gravedad alta. Por ejemplo:

  • The ability to access a limited portion of clients’ sensitive information, our back-end code, or internal information on GitHub
  • XSS that does not bypass CSP and does not execute unauthorised actions in another user’s session
  • Cross-site and server-side request forgery (without access to our internal network)
  • Subdomain takeover

Bajo

Recompensaremos los informes sobre vulnerabilidades de bajo nivel solo si nos ayudan a solucionar problemas de seguridad graves, y decidiremos el importe de la recompensa en función de cada caso.

Los problemas de baja gravedad exponen una cantidad de datos extremadamente limitada. Pueden violar una expectativa de cómo se pretende que funcione algo, pero sin escalada de privilegios o la capacidad de desencadenar un comportamiento no deseado. Por ejemplo:

  • Triggering debug error pages without proof of exploitability or obtaining sensitive information
  • Cross-site request forgery (non-critical)
  • Vulnerabilities depended on difficult scenarios or pre-conditions
  • Exposed logs without sensitive information