PL
English
Español
Français
Indonesian
Italiano
Polski
Português
Русский
Thai
Tiếng Việt
Türkçe
简体中文
繁體中文
বাংলা
العربية
한국어
Crowdin
Deutsch
Program zgłaszania błędów
BEzpieczeństwo opiera się na współpracy. Zgłaszaj nam błędy i zarabiaj.
Rodzaje luk w zabezpieczeniach
Krytyczne
Istotna działalność
Do 10 000 $*
Ogólna działalność
Do 5000 $*
Mniej istotna działalność
Do 2 500 $*
*W niektórych przypadkach możemy płacić więcej za zgłoszenie krytycznego błędu.
Problemy o krytycznym znaczeniu stanowią ogromne ryzyko dla naszych klientów lub dla samej firmy Deriv. Często dotyczą one stosunkowo niskopoziomowych komponentów naszej infrastruktury. Na przykład:
- Arbitrary code/command execution on a server in our production network
- Arbitrary queries on a production database
- Bypassing our sign-in process, either password or 2FA
- Accessing sensitive production user data and internal production systems
- Payment-related vulnerabilities that could result in loss to our clients and the company
Wysokie
Istotna działalność
Do 5000 $
Ogólna działalność
Do 2 500 $
Mniej istotna działalność
Do 1000 $
Problemy o dużym znaczeniu mają zazwyczaj węższy zakres niż problemy krytyczne, ale mogą narażać wrażliwe dane klientów i firmy na atak. Na przykład:
- Cross-server scripting (XSS) that bypasses content security policy (CSP)
- The ability to bypass verification, log in to clients’ accounts or devices, extract clients’ sensitive data, and perform actions without consent
- Gaining access to back-end code, internal session cookies, or other sensitive information
- Exploiting interactive logic issues that can cause loss to clients
Średnie
Istotna działalność
Do 500 $
Ogólna działalność
Do 250 $
Mniej istotna działalność
Do 100 $
Problemy o średnim poziomie zagrożenia umożliwiają hakerom uzyskać nieuprawniony dostęp z możliwością odczytu lub modyfikacji ograniczonej ilości wrażliwych danych. Dane te są zwykle mniej wrażliwe niż dane narażone na atak przez poważne błędy. Na przykład:
- The ability to access a limited portion of clients’ sensitive information, our back-end code, or internal information on GitHub
- XSS that does not bypass CSP and does not execute unauthorised actions in another user’s session
- Cross-site and server-side request forgery (without access to our internal network)
- Subdomain takeover
Niski
Będziemy nagradzać zgłoszenia dotyczące luk o niskim poziomie zagrożenia, tylkojeśli pomogą nam one naprawić poważne błędy w zabezpieczeniach, a wysokość nagrody będzie ustalana indywidualnie dla każdego przypadku.
Problemy o mniejszym znaczeniu narażają na ujawnienie bardzo ograniczonej ilości danych. Mogą wpływać negatywnie na oczekiwania co do sposobu działania, ale bez eskalacji uprawnień lub możliwości wywołania niezamierzonego zachowania. Na przykład:
- Triggering debug error pages without proof of exploitability or obtaining sensitive information
- Cross-site request forgery (non-critical)
- Vulnerabilities depended on difficult scenarios or pre-conditions
- Exposed logs without sensitive information