Program hadiah bug

Keamanan adalah kolaborasi. Laporkan bug dan dapatkan hadiah.

Jenis kerentanan

Kritis

Bisnis penting

Hingga $10.000*

Bisnis umum

Hingga $5.000*

Bisnis tambahan

Hingga $2.500*

Kami dapat membayar lebih tinggi untuk laporan bug kritis berdasarkan kasus-ke-kasus.

Masalah keparahan kritis menghadirkan risiko besar bagi klien kami atau Deriv sendiri. Masalah ini sering mempengaruhi komponen tingkat yang relatif rendah dalam infrastruktur kami. Misalnya:

  • Arbitrary code/command execution on a server in our production network
  • Arbitrary queries on a production database
  • Bypassing our sign-in process, either password or 2FA
  • Accessing sensitive production user data and internal production systems
  • Payment-related vulnerabilities that could result in loss to our clients and the company

Tinggi

Bisnis penting

Hingga $5.000

Bisnis umum

Hingga $2.500

Bisnis tambahan

Hingga $1.000

Masalah dengan tingkat keparahan tinggi pada umumnya memiliki cakupan yang lebih sempit berbanding cakupan pada masalah dengan keparahan kritis, namun masalah tersebut dapat mengekspos data sensitif klien dan perusahaan kepada penyerang. Misalnya:

  • Cross-server scripting (XSS) that bypasses content security policy (CSP)
  • The ability to bypass verification, log in to clients’ accounts or devices, extract clients’ sensitive data, and perform actions without consent
  • Gaining access to back-end code, internal session cookies, or other sensitive information
  • Exploiting interactive logic issues that can cause loss to clients

Sedang

Bisnis penting

Hingga $500

Bisnis umum

Hingga $250

Bisnis tambahan

Hingga $100

Masalah tingkat keparahan sedang memungkinkan penyerang untuk memperoleh akses tidak sah dalam membaca atau memodifikasi data sensitif dengan jumlah terbatas. Data ini biasanya kurang sensitif dibandingkan data yang terpapar oleh masalah dengan tingkat keparahan tinggi. Misalnya:

  • The ability to access a limited portion of clients’ sensitive information, our back-end code, or internal information on GitHub
  • XSS that does not bypass CSP and does not execute unauthorised actions in another user’s session
  • Cross-site and server-side request forgery (without access to our internal network)
  • Subdomain takeover

Rendah

Kami hanya akan memberi ganjaran jika laporan kerentanan dapat membantu kami menyelesaikan masalah keamanan yang parah, dan kami akan memutuskan jumlah ganjaran berdasarkan kasus per kasus.

Masalah dengan tingkat keparahan rendah mengekspos jumlah data yang sangat terbatas. Masalah ini mungkin dapat melanggar harapan bagaimana seharusnya fasilitas bekerja, tanpa eskalasi khusus atau kemampuan untuk memicu perilaku yang tidak diinginkan. Misalnya:

  • Triggering debug error pages without proof of exploitability or obtaining sensitive information
  • Cross-site request forgery (non-critical)
  • Vulnerabilities depended on difficult scenarios or pre-conditions
  • Exposed logs without sensitive information