Program zgłaszania błędów

BEzpieczeństwo opiera się na współpracy. Zgłaszaj nam błędy i zarabiaj.

Rodzaje luk w zabezpieczeniach

Krytyczne

Istotna działalność

Do 10 000 $*

Ogólna działalność

Do 5000 $*

Mniej istotna działalność

Do 2 500 $*

*W niektórych przypadkach możemy płacić więcej za zgłoszenie krytycznego błędu.

Problemy o krytycznym znaczeniu stanowią ogromne ryzyko dla naszych klientów lub dla samej firmy Deriv. Często dotyczą one stosunkowo niskopoziomowych komponentów naszej infrastruktury. Na przykład:

  • Arbitralne wykonanie kodu/polecenia na serwerze w naszej sieci produkcyjnej
  • Dowolne zapytania dot. produkcyjnej bazy danych
  • Omijanie naszego procesu logowania, zarówno logowania za pomocą hasła, jak i uwierzytelniania dwuskładnikowego
  • Uzyskiwanie dostępu do poufnych danych użytkowników produkcyjnych i wewnętrznych systemów produkcyjnych
  • Luki w zabezpieczeniach związane z płatnościami, które mogą skutkować stratami poniesionymi przez naszych klientów i naszą firmę

Wysokie

Istotna działalność

Do 5000 $

Ogólna działalność

Do 2 500 $

Mniej istotna działalność

Do 1000 $

Problemy o dużym znaczeniu mają zazwyczaj węższy zakres niż problemy krytyczne, ale mogą narażać wrażliwe dane klientów i firmy na atak. Na przykład:

  • Skrypty XSS (skrypty między serwerami), które omijają zasady bezpieczeństwa treści (CSP)
  • Możliwość omijania weryfikacji, logowania się na konta lub urządzenia klientów, pozyskiwania poufnych danych klientów oraz wykonywania działań bez ich zgody
  • Uzyskiwanie dostępu do kodu back-end, plików cookie sesji wewnętrznej lub innych poufnych informacji
  • Wykorzystywanie błędów w logice interaktywnej, które mogą powodować straty u klientów

Średnie

Istotna działalność

Do 500 $

Ogólna działalność

Do 250 $

Mniej istotna działalność

Do 100 $

Problemy o średnim poziomie zagrożenia umożliwiają hakerom uzyskać nieuprawniony dostęp z możliwością odczytu lub modyfikacji ograniczonej ilości wrażliwych danych. Dane te są zwykle mniej wrażliwe niż dane narażone na atak przez poważne błędy. Na przykład:

  • Możliwość dostępu do ograniczonej części poufnych informacji klientów, naszego kodu back-end lub informacji wewnętrznych na GitHubie.
  • XSS, które nie omijają CSP i nie wykonują nieautoryzowanych działań w sesji innego użytkownika
  • Fałszowanie żądań między serwerami lub między stronami (bez dostępu do naszej sieci wewnętrznej)
  • Przejęcie poddomeny

Niski

Będziemy nagradzać zgłoszenia dotyczące luk niskiego poziomu, tylkojeśli pomogą nam one naprawić poważne błędy w zabezpieczeniach, a wysokość nagrody będzie ustalana indywidualnie dla każdego przypadku.

Problemy o mniejszym znaczeniu narażają na ujawnienie bardzo ograniczonej ilości danych. Mogą wpływać negatywnie na oczekiwania co do sposobu działania, ale bez eskalacji uprawnień lub możliwości wywołania niezamierzonego zachowania. Na przykład:

  • Wyzwalanie stron błędów debugowania bez dowodu na możliwość wykorzystania lub uzyskania informacji wrażliwych
  • Fałszerstwo żądania międzywitrynowego (niekrytyczne)
  • Podatność na zagrożenia zależała od trudnych scenariuszy lub warunków wstępnych
  • Ujawnione dzienniki zawierające informacje poufne