Программа bug bounty

Безопасность — это сотрудничество. Сообщайте об ошибках и получайте вознаграждение.

Степени уязвимостей

Критическая

Важный компонент

До $10 000*

Общий компонент

До $5 000*

Периферийный компонент

до $2 500*

В некоторых случаях мы можем увеличить вознаграждение за обнаруженные критические уязвимости.

Критические уязвимости представляют огромный риск для наших клиентов и самого Deriv. Часто они затрагивают компоненты относительно низкого уровня нашей инфраструктуры. Например:

  • Arbitrary code/command execution on a server in our production network
  • Arbitrary queries on a production database
  • Bypassing our sign-in process, either password or 2FA
  • Accessing sensitive production user data and internal production systems
  • Payment-related vulnerabilities that could result in loss to our clients and the company

Высокая

Важный компонент

До $5 000

Общий компонент

До $2 500

Периферийный компонент

До $1 000

Угрозы высокой степени серьезности, как правило, имеют более узкую область применения, чем критические проблемы, но они могут раскрывать злоумышленникам конфиденциальные данные клиентов и компании. Например:

  • Cross-server scripting (XSS) that bypasses content security policy (CSP)
  • The ability to bypass verification, log in to clients’ accounts or devices, extract clients’ sensitive data, and perform actions without consent
  • Gaining access to back-end code, internal session cookies, or other sensitive information
  • Exploiting interactive logic issues that can cause loss to clients

Средняя

Важный компонент

До $500

Общий компонент

До $250

Периферийный компонент

До $100

Угрозы средней степени позволяют злоумышленникам получить несанкционированный доступ для чтения или изменения ограниченного объема конфиденциальных данных. Эти данные обычно менее конфиденциальны, чем данные, раскрытые в результате серьезных проблем. Например:

  • The ability to access a limited portion of clients’ sensitive information, our back-end code, or internal information on GitHub
  • XSS that does not bypass CSP and does not execute unauthorised actions in another user’s session
  • Cross-site and server-side request forgery (without access to our internal network)
  • Subdomain takeover

Низкая

Мы будем вознаграждать отчеты об уязвимостях низкого уровня только, если они помогут нам исправить серьезные проблемы безопасности. Размер вознаграждения для каждого случая будет определяться отдельно.

Проблемы низкой степени серьезности затрагивают очень ограниченный объем данных. Они могут вызвать небольшие нарушения в работе сервисов, но не приводят к повышению привилегий или непреднамеренному поведению. Например:

  • Triggering debug error pages without proof of exploitability or obtaining sensitive information
  • Cross-site request forgery (non-critical)
  • Vulnerabilities depended on difficult scenarios or pre-conditions
  • Exposed logs without sensitive information