RU
English
Español
Français
Indonesian
Italiano
Polski
Português
Русский
Thai
Tiếng Việt
Türkçe
简体中文
繁體中文
বাংলা
العربية
한국어
Crowdin
Deutsch
Программа bug bounty
Безопасность — это сотрудничество. Сообщайте об ошибках и получайте вознаграждение.
Степени уязвимостей
Критическая
Важный компонент
До $10 000*
Общий компонент
До $5 000*
Периферийный компонент
до $2 500*
В некоторых случаях мы можем увеличить вознаграждение за обнаруженные критические уязвимости.
Критические уязвимости представляют огромный риск для наших клиентов и самого Deriv. Часто они затрагивают компоненты относительно низкого уровня нашей инфраструктуры. Например:
- Arbitrary code/command execution on a server in our production network
- Arbitrary queries on a production database
- Bypassing our sign-in process, either password or 2FA
- Accessing sensitive production user data and internal production systems
- Payment-related vulnerabilities that could result in loss to our clients and the company
Высокая
Важный компонент
До $5 000
Общий компонент
До $2 500
Периферийный компонент
До $1 000
Угрозы высокой степени серьезности, как правило, имеют более узкую область применения, чем критические проблемы, но они могут раскрывать злоумышленникам конфиденциальные данные клиентов и компании. Например:
- Cross-server scripting (XSS) that bypasses content security policy (CSP)
- The ability to bypass verification, log in to clients’ accounts or devices, extract clients’ sensitive data, and perform actions without consent
- Gaining access to back-end code, internal session cookies, or other sensitive information
- Exploiting interactive logic issues that can cause loss to clients
Средняя
Важный компонент
До $500
Общий компонент
До $250
Периферийный компонент
До $100
Угрозы средней степени позволяют злоумышленникам получить несанкционированный доступ для чтения или изменения ограниченного объема конфиденциальных данных. Эти данные обычно менее конфиденциальны, чем данные, раскрытые в результате серьезных проблем. Например:
- The ability to access a limited portion of clients’ sensitive information, our back-end code, or internal information on GitHub
- XSS that does not bypass CSP and does not execute unauthorised actions in another user’s session
- Cross-site and server-side request forgery (without access to our internal network)
- Subdomain takeover
Низкая
Мы будем вознаграждать отчеты об уязвимостях низкого уровня только, если они помогут нам исправить серьезные проблемы безопасности. Размер вознаграждения для каждого случая будет определяться отдельно.
Проблемы низкой степени серьезности затрагивают очень ограниченный объем данных. Они могут вызвать небольшие нарушения в работе сервисов, но не приводят к повышению привилегий или непреднамеренному поведению. Например:
- Triggering debug error pages without proof of exploitability or obtaining sensitive information
- Cross-site request forgery (non-critical)
- Vulnerabilities depended on difficult scenarios or pre-conditions
- Exposed logs without sensitive information