Program zgłaszania błędów

BEzpieczeństwo opiera się na współpracy. Zgłaszaj nam błędy i zarabiaj.

Rodzaje luk w zabezpieczeniach

Krytyczne

Istotna działalność

Do 10 000 $*

Ogólna działalność

Do 5000 $*

Mniej istotna działalność

Do 2 500 $*

*W niektórych przypadkach możemy płacić więcej za zgłoszenie krytycznego błędu.

Problemy o krytycznym znaczeniu stanowią ogromne ryzyko dla naszych klientów lub dla samej firmy Deriv. Często dotyczą one stosunkowo niskopoziomowych komponentów naszej infrastruktury. Na przykład:

  • Arbitrary code/command execution on a server in our production network
  • Arbitrary queries on a production database
  • Bypassing our sign-in process, either password or 2FA
  • Accessing sensitive production user data and internal production systems
  • Payment-related vulnerabilities that could result in loss to our clients and the company

Wysokie

Istotna działalność

Do 5000 $

Ogólna działalność

Do 2 500 $

Mniej istotna działalność

Do 1000 $

Problemy o dużym znaczeniu mają zazwyczaj węższy zakres niż problemy krytyczne, ale mogą narażać wrażliwe dane klientów i firmy na atak. Na przykład:

  • Cross-server scripting (XSS) that bypasses content security policy (CSP)
  • The ability to bypass verification, log in to clients’ accounts or devices, extract clients’ sensitive data, and perform actions without consent
  • Gaining access to back-end code, internal session cookies, or other sensitive information
  • Exploiting interactive logic issues that can cause loss to clients

Średnie

Istotna działalność

Do 500 $

Ogólna działalność

Do 250 $

Mniej istotna działalność

Do 100 $

Problemy o średnim poziomie zagrożenia umożliwiają hakerom uzyskać nieuprawniony dostęp z możliwością odczytu lub modyfikacji ograniczonej ilości wrażliwych danych. Dane te są zwykle mniej wrażliwe niż dane narażone na atak przez poważne błędy. Na przykład:

  • The ability to access a limited portion of clients’ sensitive information, our back-end code, or internal information on GitHub
  • XSS that does not bypass CSP and does not execute unauthorised actions in another user’s session
  • Cross-site and server-side request forgery (without access to our internal network)
  • Subdomain takeover

Niski

Będziemy nagradzać zgłoszenia dotyczące luk o niskim poziomie zagrożenia, tylkojeśli pomogą nam one naprawić poważne błędy w zabezpieczeniach, a wysokość nagrody będzie ustalana indywidualnie dla każdego przypadku.

Problemy o mniejszym znaczeniu narażają na ujawnienie bardzo ograniczonej ilości danych. Mogą wpływać negatywnie na oczekiwania co do sposobu działania, ale bez eskalacji uprawnień lub możliwości wywołania niezamierzonego zachowania. Na przykład:

  • Triggering debug error pages without proof of exploitability or obtaining sensitive information
  • Cross-site request forgery (non-critical)
  • Vulnerabilities depended on difficult scenarios or pre-conditions
  • Exposed logs without sensitive information