Vai su Deriv.com

Chi siamo

Contattaci

IT

English

Español

Français

Indonesian

Italiano

Polski

Português

Русский

Thai

Tiếng Việt

Türkçe

简体中文

繁體中文

বাংলা

العربية

한국어

Crowdin

Deutsch

Programma Bug Bounty

La sicurezza è collaborazione. Segnala i bug e ottieni una ricompensa.

Tipi di vulnerabilità

Critico

Business importanti

Fino a $10.000*

Business generale

Fino a $5.000*

Business marginale

Fino a $2.500*

*Le segnalazioni di bug critici potrebbero essere pagate di più se effettuate caso per caso.

I problemi di gravità critica rappresentano un rischio enorme per i nostri clienti o per Deriv stessa. Spesso colpiscono componenti di livello relativamente basso nella nostra infrastruttura. Per esempio:

  • Arbitrary code/command execution on a server in our production network
  • Arbitrary queries on a production database
  • Bypassing our sign-in process, either password or 2FA
  • Accessing sensitive production user data and internal production systems
  • Payment-related vulnerabilities that could result in loss to our clients and the company

Massimo

Business importanti

Fino a $5.000

Business generale

Fino a $2.500

Business marginale

Fino a $1.000

I problemi di gravità elevata generalmente riguardano ambiti più circostritti rispetto ai problemi critici, ma possono esporre maggiormente i clienti più esposti e i dati della società al rischio di attacchi esterni.

  • Cross-server scripting (XSS) that bypasses content security policy (CSP)
  • The ability to bypass verification, log in to clients’ accounts or devices, extract clients’ sensitive data, and perform actions without consent
  • Gaining access to back-end code, internal session cookies, or other sensitive information
  • Exploiting interactive logic issues that can cause loss to clients

Medio

Business importanti

Fino a $500

Business generale

Fino a $250

Business marginale

Fino a $100

I problemi di gravità media consentono a esterni di accedere senza autorizzazione a un numero limitato di dati sensibili, per leggerli o modificarli. Questi dati sono generalmente meno sensibili di quelli a rischio in caso di problemi di gravità elevata. Per esempio:

  • The ability to access a limited portion of clients’ sensitive information, our back-end code, or internal information on GitHub
  • XSS that does not bypass CSP and does not execute unauthorised actions in another user’s session
  • Cross-site and server-side request forgery (without access to our internal network)
  • Subdomain takeover

Basso

Le segnalazioni di livello di vulnerabilità basso verranno ricompensate solo se ci aiutano a risolvere problemi di sicurezza seri. La ricompensa verrà stabilita caso per caso.

I problemi di gravità bassa espongono un numero limitato di dati. Potrebbero deludere le aspettative degli utenti in termini di funzionalità, ma senza aggirare le autorizzazioni (privilege escalation) o la capacità di provocare un comportamento inatteso. Per esempio:

  • Triggering debug error pages without proof of exploitability or obtaining sensitive information
  • Cross-site request forgery (non-critical)
  • Vulnerabilities depended on difficult scenarios or pre-conditions
  • Exposed logs without sensitive information