Site Web DerivQui sommes-nousNous contacter

Programme Bug Bounty

La sécurité est une collaboration. Signalez les bugs et soyez récompensé.

Types de vulnérabilités

Critique

Activité importante

Jusqu'à 10 000$*

Activité générale

Jusqu'à 5 000$*

Activité de proximité

Jusqu'à 2 500$*

*Nous pouvons payer plus cher les rapports de bug critiques au cas par cas.

Les problèmes de gravité critique présentent un risque énorme pour nos clients ou pour Deriv elle-même. Ils affectent souvent des composants de relativement bas niveau dans notre infrastructure. Par exemple :

  • Exécution de code/commande arbitraire sur un serveur dans notre réseau de production.
  • Requêtes arbitraires sur une base de données de production
  • Contournement de notre processus de connexion, soit par mot de passe, soit par 2FA.
  • Accès aux données sensibles des utilisateurs de la production et aux systèmes de production internes
  • Les vulnérabilités liées aux paiements qui pourraient entraîner des pertes pour nos clients et l'entreprise

Haut

Activité importante

Jusqu'à 5,000$

Activité générale

Jusqu'à 2,500$

Activité de proximité

Jusqu'à 1 000$

Les problèmes de haute gravité ont généralement une portée plus limitée que les problèmes critiques, mais ils peuvent exposer les données sensibles des clients et de l'entreprise à des attaquants. Par exemple :

  • Cross-server scripting (XSS) qui contourne la politique de sécurité du contenu (CSP).
  • La possibilité de contourner la vérification, de se connecter aux comptes ou aux appareils des clients, d'extraire les données sensibles des clients et d'effectuer des actions sans leur consentement.
  • Accéder au code back-end, aux cookies de session internes ou à d'autres informations sensibles.
  • Exploitation de problèmes de logique interactive pouvant causer des pertes aux clients

Moyen

Activité importante

Jusqu'à 500$

Activité générale

Jusqu'à 250$

Activité de proximité

Jusqu'à 100$

Les problèmes de gravité moyenne permettent aux attaquants d'obtenir un accès non autorisé pour lire ou modifier une quantité limitée de données sensibles. Ces données sont généralement moins sensibles que les données exposées par les problèmes de gravité élevée. Par exemple :

  • La possibilité d'accéder à une partie limitée des informations sensibles des clients, à notre code back-end ou aux informations internes sur GitHub.
  • XSS qui ne contourne pas le CSP et n'exécute pas d'actions non autorisées dans la session d'un autre utilisateur.
  • Falsification de requêtes inter-sites et côté serveur (sans accès à notre réseau interne)
  • Prise de contrôle d'un sous-domaine

Faible

Nous récompenserons les rapports sur les vulnérabilités de bas niveau uniquement s'ils nous aident à résoudre des problèmes de sécurité graves, et nous déciderons du montant de la récompense au cas par cas.

Les problèmes de faible gravité exposent une quantité extrêmement limitée de données. Ils peuvent violer une attente sur la façon dont quelque chose est censé fonctionner, mais sans escalade des privilèges ou la capacité de déclencher un comportement involontaire. Par exemple :

  • Déclenchement de pages d'erreur de debug sans preuve d'exploitabilité ni obtention d'informations sensibles
  • Falsification de requête intersite (non critique)
  • Les vulnérabilités dépendent de scénarios difficiles ou de conditions préalables.
  • Historiques exposés sans informations sensibles