Programma Bug Bounty

La sicurezza è collaborazione. Segnala i bug e ottieni una ricompensa.

Tipi di vulnerabilità

Critico

Business importanti

Fino a $10.000*

Business generale

Fino a $5.000*

Business marginale

Fino a $2.500*

*Le segnalazioni di bug critici potrebbero essere pagate di più se effettuate caso per caso.

I problemi di gravità critica rappresentano un rischio enorme per i nostri clienti o per Deriv stessa. Spesso colpiscono componenti di livello relativamente basso nella nostra infrastruttura. Per esempio:

  • Esecuzione arbitraria di codice/comando su un server nella nostra rete di produzione
  • Richieste arbitrarie su un database di produzione
  • Bypassare il nostro processo di accesso, sia con password che con 2FA
  • Accesso ai dati sensibili degli utenti di produzione e ai sistemi interni di produzione
  • Vulnerabilità legate ai pagamenti che potrebbero portare a perdite per i nostri clienti e la società

Massimo

Business importanti

Fino a $5.000

Business generale

Fino a $2.500

Business marginale

Fino a $1.000

I problemi di gravità elevata generalmente riguardano ambiti più circostritti rispetto ai problemi critici, ma possono esporre maggiormente i clienti più esposti e i dati della società al rischio di attacchi esterni.

  • Scripting tra server (XSS) che ignora la policy sulla sicurezza dei contenuti (CSP).
  • La capacità di bypassare la verifica, accedere agli account o ai dispositivi dei clienti, estrarre i dati sensibili dei clienti ed eseguire azioni senza consenso
  • Ottenere l'accesso al codice di back-end, ai cookies delle sessioni interne o ad altre informazioni sensibili
  • Sfruttare problemi di logica interattiva che possono provocare perdite ai clienti

Medio

Business importanti

Fino a $500

Business generale

Fino a $250

Business marginale

Fino a $100

I problemi di gravità media consentono a esterni di accedere senza autorizzazione a un numero limitato di dati sensibili, per leggerli o modificarli. Questi dati sono generalmente meno sensibili di quelli a rischio in caso di problemi di gravità elevata. Per esempio:

  • La capacità di accedere a una porzione limitata di informazioni sensibili dei clienti, al nostro codice back-end o alle informazioni interne su GitHub
  • XSS che non esclude CSP e non esegue operazioni non autorizzate nella sessione di un altro utente
  • Falsificazione delle richieste lato server e tra siti (senza accesso al network interno)
  • Takeover del sottodominio

Basso

Le segnalazioni di livello di vulnerabilità basso verranno ricompensate solo se ci aiutano a risolvere problemi di sicurezza seri. La ricompensa verrà stabilita caso per caso.

I problemi di gravità bassa espongono un numero limitato di dati. Potrebbero deludere le aspettative degli utenti in termini di funzionalità, ma senza aggirare le autorizzazioni (privilege escalation) o la capacità di provocare un comportamento inatteso. Per esempio:

  • Attivare pagine di errore di debug senza prova di usabilità oppure ottenere informazioni sensibili
  • Falsificazione di una richiesta intersito (non critica)
  • Le vulnerabilità dipendono da scenari o precondizioni difficili
  • Registri esposti senza informazioni sensibili