Program bug bounty

Keamanan adalah kolaborasi. Laporkan bug dan dapatkan hadiah.

Jenis kerentanan

Kritis

Bisnis penting

Hingga $10.000*

Bisnis umum

Hingga $5.000*

Bisnis tambahan

Hingga $2.500*

Kami dapat membayar lebih tinggi untuk laporan bug kritis berdasarkan kasus-ke-kasus.

Masalah keparahan kritis menghadirkan risiko besar bagi klien kami atau Deriv sendiri. Masalah ini sering mempengaruhi komponen tingkat yang relatif rendah dalam infrastruktur kami. Misalnya:

  • Eksekusi kode/perintah arbitrer di server di jaringan produksi kami
  • Kueri arbitrer pada database produksi
  • Melewati proses pengaksesan kami, baik kata sandi atau 2FA
  • Mengakses data pengguna produksi sensitif dan sistem produksi internal
  • Kerentanan terkait pembayaran yang dapat mengakibatkan kerugian bagi klien dan perusahaan

Tinggi

Bisnis penting

Hingga $5.000

Bisnis umum

Hingga $2.500

Bisnis tambahan

Hingga $1.000

Masalah dengan tingkat keparahan tinggi pada umumnya memiliki cakupan yang lebih sempit berbanding cakupan pada masalah dengan keparahan kritis, namun masalah tersebut dapat mengekspos data sensitif klien dan perusahaan kepada penyerang. Misalnya:

  • Skrip lintas server (XSS) yang melewati kebijakan keamanan konten (CSP)
  • Kemampuan untuk melewati verifikasi, masuk ke akun atau perangkat klien, mengekstrak data sensitif klien, dan melakukan tindakan tanpa persetujuan
  • Mendapatkan akses ke kode back-end, cookie sesi internal, atau informasi sensitif lainnya
  • Memanfaatkan masalah logika interaktif yang dapat menyebabkan kerugian bagi klien

Sedang

Bisnis penting

Hingga $500

Bisnis umum

Hingga $250

Bisnis tambahan

Hingga $100

Masalah tingkat keparahan sedang memungkinkan penyerang untuk memperoleh akses tidak sah dalam membaca atau memodifikasi data sensitif dengan jumlah terbatas. Data ini biasanya kurang sensitif dibandingkan data yang terpapar oleh masalah dengan tingkat keparahan tinggi. Misalnya:

  • Kemampuan untuk mengakses sebagian informasi sensitif klien, kode back-end kami, atau informasi internal di GitHub
  • XSS yang tidak melewati CSP dan tidak melakukan tindakan tidak sah di sesi pengguna lain
  • Pemalsuan permintaan lintas situs dan sisi server (tanpa akses ke jaringan internal kami)
  • Pengambilalihan subdomain

Rendah

Kami hanya akan memberi ganjaran jika laporan kerentanan dapat membantu kami menyelesaikan masalah keamanan yang parah, dan kami akan memutuskan jumlah ganjaran berdasarkan kasus per kasus.

Masalah dengan tingkat keparahan rendah mengekspos jumlah data yang sangat terbatas. Masalah ini mungkin dapat melanggar harapan bagaimana seharusnya fasilitas bekerja, tanpa eskalasi khusus atau kemampuan untuk memicu perilaku yang tidak diinginkan. Misalnya:

  • Memicu halaman error debug tanpa bukti eksploitasi atau memperoleh informasi sensitif
  • Pemalsuan permintaan lintas lokasi (non-kritis)
  • Kerentanan bergantung pada skenario atau prakondisi yang sulit
  • Log terbuka tanpa informasi sensitif