버그 바운티 프로그램

보안은 협동적으로 막을 수 있습니다. 버그를 보고하시고 보상 받으세요.

취약점 유형

치명

중요 비즈니스

최대 $10,000*

일반 비즈니스 (general business)

최대 $5,000*

에지 회사 (Edge business)

최대 $2,500*

*저희는 케이스에 따라 더 중대한 버그 리포트에 대하여 더 많이 지불해 드릴 수 있습니다.

치명적이고 심각한 문제들은 저희의 고객분들 또는 Deriv에 상당한 위험을 가지고 옵니다. 이 위험들은 때때로 저희의 기반 시설의 다소 낮은 레벨의 구성에 영향을 줍니다. 예를 들면:

  • Arbitrary code/command execution on a server in our production network
  • Arbitrary queries on a production database
  • Bypassing our sign-in process, either password or 2FA
  • Accessing sensitive production user data and internal production systems
  • Payment-related vulnerabilities that could result in loss to our clients and the company

높습니다

중요 비즈니스

최대 $5,000

일반 비즈니스 (general business)

최대 $2,500

에지 회사 (Edge business)

최대 $1,000

심각한 문제는 일반적으로 치명 문제보다 범위적으로 더 좁습니다만, 공격자들에게 고객과 회사의 민감한 데이터를 노출시킬 수 있습니다. 예를 들자면:

  • Cross-server scripting (XSS) that bypasses content security policy (CSP)
  • The ability to bypass verification, log in to clients’ accounts or devices, extract clients’ sensitive data, and perform actions without consent
  • Gaining access to back-end code, internal session cookies, or other sensitive information
  • Exploiting interactive logic issues that can cause loss to clients

중간

중요 비즈니스

최대 $500

일반 비즈니스 (general business)

최대 $250

에지 회사 (Edge business)

최대 $100

중간 수준의 심각한 문제는 공격자들이 제한된 양의 민감한 데이터를 읽거나 변경할 수 있는 비인가된 접근권한을 가질 수 있도록 합니다. 이 데이터는 높은 수준의 심각한 문제에 의해 노출되는 데이터보다 일반적으로 민감한 정도가 작습니다.

  • The ability to access a limited portion of clients’ sensitive information, our back-end code, or internal information on GitHub
  • XSS that does not bypass CSP and does not execute unauthorised actions in another user’s session
  • Cross-site and server-side request forgery (without access to our internal network)
  • Subdomain takeover

낮음

저희가 심각한 보안 문제를 고칠 수 있도록 도와주는 낮은 레벨의 취약점에 대한 보고에 대해서만 보상해 드릴 것이며, 저희는 케이스에 따라 보상 금액을 결정할 것입니다.

낮은 심각성의 문제는 극도로 제한된 양의 데이터를 노출시킵니다. 이러한 문제들은 권한 확대 또는 의도하지 않은 행위를 시현시킬 수 있는 능력 없이 어떠한 작업이 의도한 바대로 시행되어야 하는 예상을 위반할 수 있습니다. 예를 들어서:

  • Triggering debug error pages without proof of exploitability or obtaining sensitive information
  • Cross-site request forgery (non-critical)
  • Vulnerabilities depended on difficult scenarios or pre-conditions
  • Exposed logs without sensitive information