Programme Bug Bounty

La sécurité est une collaboration. Signalez les bugs et soyez récompensé.

Types de vulnérabilités

Critique

Activité importante

Jusqu'à 10 000$*

Activité générale

Jusqu'à 5 000$*

Activité de proximité

Jusqu'à 2 500$*

*Nous pouvons payer plus cher les rapports de bug critiques au cas par cas.

Les problèmes de gravité critique présentent un risque énorme pour nos clients ou pour Deriv elle-même. Ils affectent souvent des composants de relativement bas niveau dans notre infrastructure. Par exemple :

  • Arbitrary code/command execution on a server in our production network
  • Arbitrary queries on a production database
  • Bypassing our sign-in process, either password or 2FA
  • Accessing sensitive production user data and internal production systems
  • Payment-related vulnerabilities that could result in loss to our clients and the company

Haut

Activité importante

Jusqu'à 5,000$

Activité générale

Jusqu'à 2,500$

Activité de proximité

Jusqu'à 1 000$

Les problèmes de haute gravité ont généralement une portée plus limitée que les problèmes critiques, mais ils peuvent exposer les données sensibles des clients et de l'entreprise à des attaquants. Par exemple :

  • Cross-server scripting (XSS) that bypasses content security policy (CSP)
  • The ability to bypass verification, log in to clients’ accounts or devices, extract clients’ sensitive data, and perform actions without consent
  • Gaining access to back-end code, internal session cookies, or other sensitive information
  • Exploiting interactive logic issues that can cause loss to clients

Moyen

Activité importante

Jusqu'à 500$

Activité générale

Jusqu'à 250$

Activité de proximité

Jusqu'à 100$

Les problèmes de gravité moyenne permettent aux attaquants d'obtenir un accès non autorisé pour lire ou modifier une quantité limitée de données sensibles. Ces données sont généralement moins sensibles que les données exposées par les problèmes de gravité élevée. Par exemple :

  • The ability to access a limited portion of clients’ sensitive information, our back-end code, or internal information on GitHub
  • XSS that does not bypass CSP and does not execute unauthorised actions in another user’s session
  • Cross-site and server-side request forgery (without access to our internal network)
  • Subdomain takeover

Faible

Nous récompenserons les rapports sur les vulnérabilités de bas niveau uniquement s'ils nous aident à résoudre des problèmes de sécurité graves, et nous déciderons du montant de la récompense au cas par cas.

Les problèmes de faible gravité exposent une quantité extrêmement limitée de données. Ils peuvent violer une attente sur la façon dont quelque chose est censé fonctionner, mais sans escalade des privilèges ou la capacité de déclencher un comportement involontaire. Par exemple :

  • Triggering debug error pages without proof of exploitability or obtaining sensitive information
  • Cross-site request forgery (non-critical)
  • Vulnerabilities depended on difficult scenarios or pre-conditions
  • Exposed logs without sensitive information