PT
English
Español
Français
Indonesian
Italiano
Polski
Português
Русский
Thai
Tiếng Việt
Türkçe
简体中文
繁體中文
বাংলা
العربية
한국어
Crowdin
Deutsch
Programa de Recompensas por Bugs
A segurança é uma colaboração. Informe os erros (bugs) e seja recompensado(a).
Tipos de vulnerabilidades
Crítico
Negócios importantes
Até $10,000*
Negócios gerais
Até $5,000*
Negócios de Ponta
Até $2,500*
*Podemos pagar mais por relatórios de erros críticos, caso a caso.
Questões de severidade crítica representam um enorme risco para nossos clientes ou para a própria Deriv. Muitas vezes eles afetam componentes de nível relativamente baixo em nossa infra-estrutura. Por exemplo:
- Arbitrary code/command execution on a server in our production network
- Arbitrary queries on a production database
- Bypassing our sign-in process, either password or 2FA
- Accessing sensitive production user data and internal production systems
- Payment-related vulnerabilities that could result in loss to our clients and the company
Alto
Negócios importantes
Até $5.000
Negócios gerais
Até $2.500
Negócios de Ponta
Até $1.000
As questões de alta severidade são geralmente de escopo mais restrito do que as questões críticas, mas podem expor dados sensíveis de clientes e empresas a hackers. Por exemplo:
- Cross-server scripting (XSS) that bypasses content security policy (CSP)
- The ability to bypass verification, log in to clients’ accounts or devices, extract clients’ sensitive data, and perform actions without consent
- Gaining access to back-end code, internal session cookies, or other sensitive information
- Exploiting interactive logic issues that can cause loss to clients
Médio
Negócios importantes
Até $500
Negócios gerais
Até $250
Negócios de Ponta
Até $100
Os problemas de gravidade média permitem aos atacantes obter acesso não autorizado para ler ou modificar uma quantidade limitada de dados sensíveis. Esses dados são geralmente menos sensíveis do que os dados expostos por questões de alta severidade. Por exemplo:
- The ability to access a limited portion of clients’ sensitive information, our back-end code, or internal information on GitHub
- XSS that does not bypass CSP and does not execute unauthorised actions in another user’s session
- Cross-site and server-side request forgery (without access to our internal network)
- Subdomain takeover
Baixo
Recompensaremos relatórios sobre vulnerabilidades de baixo nível somente se nos ajudarem a resolver graves problemas de segurança, e decidiremos o valor da recompensa caso a caso.
Problemas de baixa severidade expõem uma quantidade extremamente limitada de dados. Eles podem violar uma expectativa de como algo deve funcionar, mas sem a escalada de privilégios ou a capacidade de desencadear um comportamento não intencional. Por exemplo:
- Triggering debug error pages without proof of exploitability or obtaining sensitive information
- Cross-site request forgery (non-critical)
- Vulnerabilities depended on difficult scenarios or pre-conditions
- Exposed logs without sensitive information