Programma Bug Bounty

La sicurezza è collaborazione. Segnala i bug e ottieni una ricompensa.

Tipi di vulnerabilità

Critico

Business importanti

Fino a $10.000*

Business generale

Fino a $5.000*

Business marginale

Fino a $2.500*

*Le segnalazioni di bug critici potrebbero essere pagate di più se effettuate caso per caso.

I problemi di gravità critica rappresentano un rischio enorme per i nostri clienti o per Deriv stessa. Spesso colpiscono componenti di livello relativamente basso nella nostra infrastruttura. Per esempio:

  • Arbitrary code/command execution on a server in our production network
  • Arbitrary queries on a production database
  • Bypassing our sign-in process, either password or 2FA
  • Accessing sensitive production user data and internal production systems
  • Payment-related vulnerabilities that could result in loss to our clients and the company

Massimo

Business importanti

Fino a $5.000

Business generale

Fino a $2.500

Business marginale

Fino a $1.000

I problemi di gravità elevata generalmente riguardano ambiti più circostritti rispetto ai problemi critici, ma possono esporre maggiormente i clienti più esposti e i dati della società al rischio di attacchi esterni.

  • Cross-server scripting (XSS) that bypasses content security policy (CSP)
  • The ability to bypass verification, log in to clients’ accounts or devices, extract clients’ sensitive data, and perform actions without consent
  • Gaining access to back-end code, internal session cookies, or other sensitive information
  • Exploiting interactive logic issues that can cause loss to clients

Medio

Business importanti

Fino a $500

Business generale

Fino a $250

Business marginale

Fino a $100

I problemi di gravità media consentono a esterni di accedere senza autorizzazione a un numero limitato di dati sensibili, per leggerli o modificarli. Questi dati sono generalmente meno sensibili di quelli a rischio in caso di problemi di gravità elevata. Per esempio:

  • The ability to access a limited portion of clients’ sensitive information, our back-end code, or internal information on GitHub
  • XSS that does not bypass CSP and does not execute unauthorised actions in another user’s session
  • Cross-site and server-side request forgery (without access to our internal network)
  • Subdomain takeover

Basso

Le segnalazioni di livello di vulnerabilità basso verranno ricompensate solo se ci aiutano a risolvere problemi di sicurezza seri. La ricompensa verrà stabilita caso per caso.

I problemi di gravità bassa espongono un numero limitato di dati. Potrebbero deludere le aspettative degli utenti in termini di funzionalità, ma senza aggirare le autorizzazioni (privilege escalation) o la capacità di provocare un comportamento inatteso. Per esempio:

  • Triggering debug error pages without proof of exploitability or obtaining sensitive information
  • Cross-site request forgery (non-critical)
  • Vulnerabilities depended on difficult scenarios or pre-conditions
  • Exposed logs without sensitive information