Programa de recompensa por bugs

Segurança é colaboração. Relate bugs e seja recompensado.

Tipos de vulnerabilidades

Crítico

Negócio importante

Até $10,000*

Negócios gerais

Até $5,000*

Negócio de Ponta

Até $2,500*

*Podemos pagar mais por relatórios de erros críticos, caso a caso.

Questões de severidade crítica representam um enorme risco para nossos clientes ou para a própria Deriv. Muitas vezes eles afetam componentes de nível relativamente baixo em nossa infra-estrutura. Por exemplo:

  • Execução de código/comando arbitrário em um servidor em nossa rede de produção
  • Consultas arbitrárias em um banco de dados de produção
  • Ignorando nosso processo de login, seja por senha ou 2FA
  • Acesso aos dados sensíveis dos usuários de produção e sistemas internos de produção
  • Vulnerabilidades relacionadas ao pagamento que podem resultar em perdas para nossos clientes e para a empresa

Alto

Negócio importante

Até $5,000

Negócios gerais

Até $2,500

Negócio de Ponta

Até $1,000

As questões de alta severidade são geralmente de escopo mais restrito do que as questões críticas, mas podem expor dados sensíveis de clientes e empresas a hackers. Por exemplo:

  • Roteiro de servidor cruzado (XSS) que contorna a política de segurança de conteúdo (CSP)
  • A capacidade de contornar a verificação, fazer login nas contas ou dispositivos dos clientes, extrair dados sensíveis dos clientes e executar ações sem consentimento
  • Obter acesso ao código de back-end, cookies de sessão interna, ou outras informações sensíveis
  • Exploração de questões de lógica interativa que podem causar perdas para os clientes

Médio

Negócio importante

Até $500

Negócios gerais

Até $250

Negócio de Ponta

Até $100

Os problemas de gravidade média permitem aos atacantes obter acesso não autorizado para ler ou modificar uma quantidade limitada de dados sensíveis. Esses dados são geralmente menos sensíveis do que os dados expostos por questões de alta severidade. Por exemplo:

  • A capacidade de acessar uma parte limitada das informações sensíveis dos clientes, nosso código back-end, ou informações internas no GitHub
  • XSS que não ignore o CSP e não execute ações não autorizadas na sessão de outro usuário
  • Falsificação de solicitação entre sites e do lado do servidor (sem acesso à nossa rede interna)
  • Aquisição de sub-domínios

Baixo

Recompensaremos relatórios sobre vulnerabilidades de baixo nível somente se nos ajudarem a resolver graves problemas de segurança, e decidiremos o valor da recompensa caso a caso.

Problemas de baixa severidade expõem uma quantidade extremamente limitada de dados. Eles podem violar uma expectativa de como algo deve funcionar, mas sem a escalada de privilégios ou a capacidade de desencadear um comportamento não intencional. Por exemplo:

  • Acionamento de páginas de erro de depuração sem prova de explorabilidade ou obtenção de informações sensíveis
  • Pedido de falsificação cruzada (não-crítica)
  • As vulnerabilidades dependem de cenários difíceis ou pré-condições
  • Registros expostos sem informações sensíveis