Programa de Recompensas por Bugs

A segurança é uma colaboração. Informe os erros (bugs) e seja recompensado(a).

Tipos de vulnerabilidades

Crítico

Negócios importantes

Até $10,000*

Negócios gerais

Até $5,000*

Negócios de Ponta

Até $2,500*

*Podemos pagar mais por relatórios de erros críticos, caso a caso.

Questões de severidade crítica representam um enorme risco para nossos clientes ou para a própria Deriv. Muitas vezes eles afetam componentes de nível relativamente baixo em nossa infra-estrutura. Por exemplo:

  • Arbitrary code/command execution on a server in our production network
  • Arbitrary queries on a production database
  • Bypassing our sign-in process, either password or 2FA
  • Accessing sensitive production user data and internal production systems
  • Payment-related vulnerabilities that could result in loss to our clients and the company

Alto

Negócios importantes

Até $5.000

Negócios gerais

Até $2.500

Negócios de Ponta

Até $1.000

As questões de alta severidade são geralmente de escopo mais restrito do que as questões críticas, mas podem expor dados sensíveis de clientes e empresas a hackers. Por exemplo:

  • Cross-server scripting (XSS) that bypasses content security policy (CSP)
  • The ability to bypass verification, log in to clients’ accounts or devices, extract clients’ sensitive data, and perform actions without consent
  • Gaining access to back-end code, internal session cookies, or other sensitive information
  • Exploiting interactive logic issues that can cause loss to clients

Médio

Negócios importantes

Até $500

Negócios gerais

Até $250

Negócios de Ponta

Até $100

Os problemas de gravidade média permitem aos atacantes obter acesso não autorizado para ler ou modificar uma quantidade limitada de dados sensíveis. Esses dados são geralmente menos sensíveis do que os dados expostos por questões de alta severidade. Por exemplo:

  • The ability to access a limited portion of clients’ sensitive information, our back-end code, or internal information on GitHub
  • XSS that does not bypass CSP and does not execute unauthorised actions in another user’s session
  • Cross-site and server-side request forgery (without access to our internal network)
  • Subdomain takeover

Baixo

Recompensaremos relatórios sobre vulnerabilidades de baixo nível somente se nos ajudarem a resolver graves problemas de segurança, e decidiremos o valor da recompensa caso a caso.

Problemas de baixa severidade expõem uma quantidade extremamente limitada de dados. Eles podem violar uma expectativa de como algo deve funcionar, mas sem a escalada de privilégios ou a capacidade de desencadear um comportamento não intencional. Por exemplo:

  • Triggering debug error pages without proof of exploitability or obtaining sensitive information
  • Cross-site request forgery (non-critical)
  • Vulnerabilities depended on difficult scenarios or pre-conditions
  • Exposed logs without sensitive information