Программа bug bounty

Безопасность — это сотрудничество. Сообщайте об ошибках и получайте вознаграждение.

Степени уязвимостей

Критическая

Важный компонент

До $10 000*

Общий компонент

До $5 000*

Периферийный компонент

до $2 500*

В некоторых случаях мы можем увеличить вознаграждение за обнаруженные критические уязвимости.

Критические уязвимости представляют огромный риск для наших клиентов и самого Deriv. Часто они затрагивают компоненты относительно низкого уровня нашей инфраструктуры. Например:

  • Выполнение произвольного кода/команды на сервере в нашей рабочей сети
  • Произвольные запросы в производственной базе данных
  • Обход нашего процесса входа в систему, пароля или 2FA
  • Доступ к конфиденциальным производственным пользовательским данным и внутренним производственным системам
  • Уязвимости платежной системы, которые могут привести к потерям для наших клиентов и компании

Высокая

Важный компонент

До $5 000

Общий компонент

До $2 500

Периферийный компонент

До $1 000

Угрозы высокой степени серьезности, как правило, имеют более узкую область применения, чем критические проблемы, но они могут раскрывать злоумышленникам конфиденциальные данные клиентов и компании. Например:

  • Межсерверный скриптинг (XSS), обходящий протоколы безопасности контента (CSP)
  • Возможность обходить верификацию, входить в учетные записи или устройства клиентов, извлекать конфиденциальные данные клиентов и выполнять действия без согласия
  • Получение доступа к back-end коду, внутренним файлам cookie или другой конфиденциальной информации.
  • Эксплуатация проблем интерактивной логики, которые могут привести к финансовым потерям для клиентов

Средняя

Важный компонент

До $500

Общий компонент

До $250

Периферийный компонент

До $100

Угрозы средней степени позволяют злоумышленникам получить несанкционированный доступ для чтения или изменения ограниченного объема конфиденциальных данных. Эти данные обычно менее конфиденциальны, чем данные, раскрытые в результате серьезных проблем. Например:

  • Возможность доступа к ограниченной части конфиденциальной информации клиентов, back-end или внутренней информации на GitHub.
  • XSS, который не обходит CSP и не выполняет несанкционированные действия во время сеанса другого пользователя
  • Межсайтовая и серверная подделка запросов (без доступа к нашей внутренней сети)
  • Захват субдомена

Низкая

Мы будем вознаграждать отчеты об уязвимостях низкого уровня только, если они помогут нам исправить серьезные проблемы безопасности. Размер вознаграждения для каждого случая будет определяться отдельно.

Проблемы низкой степени серьезности затрагивают очень ограниченный объем данных. Они могут вызвать небольшие нарушения в работе сервисов, но не приводят к повышению привилегий или непреднамеренному поведению. Например:

  • Запуск страниц ошибок отладки без подтверждения возможности использования или получения конфиденциальной информации
  • Межсайтовая подделка запроса (некритическая)
  • Уязвимости, зависящие от сложных сценариев или предварительных условий
  • Утечка логов, не содержащих конфиденциальной информации