โปรแกรมรางวัลบั๊ก

เพราะความปลอดภัยคือความร่วมมือกัน มาร่วมรายงานจุดบกพร่องโปรแกรมแล้วรับรางวัลตอบแทน

ประเภทของช่องโหว่

วิกฤต

ธุรกิจสำคัญ

ถึง $10,000*

ธุรกิจทั่วไป

สูงสุดถึง $5,000*

ธุรกิจชายขอบ

สูงสุดถึง $2,500*

*เราอาจจ่ายสูงกว่าสำหรับรายงานจุดบกพร่องที่สำคัญเป็นรายกรณีไป

ปัญหาความรุนแรงที่สำคัญก่อให้เกิดความเสี่ยงอย่างมากต่อลูกค้าของเราหรือต่อ Deriv เอง สิ่งเหล่านี้มักส่งผลกระทบต่อส่วนประกอบระดับต่ำในโครงสร้างพื้นฐานของเรา ตัวอย่างเช่น:

  • รหัสโดยพลการ/การดำเนินการคำสั่งบนเซิร์ฟเวอร์ในเครือข่ายการผลิตของเรา
  • แบบสอบถามแบบสุ่มเลือกบนฐานข้อมูลการผลิต
  • ข้ามขั้นตอนการลงชื่อเข้าใช้ของเรา ไม่ว่าจะเป็นรหัสผ่านหรือ2FA
  • การเข้าถึงข้อมูลผู้ใช้การผลิตที่ละเอียดอ่อนและระบบการผลิตภายใน
  • ช่องโหว่ที่เกี่ยวข้องกับการชำระเงินซึ่งอาจส่งผลให้เกิดการสูญเสียต่อลูกค้าและบริษัทของเรา

ระดับสูง

ธุรกิจสำคัญ

ถึง $5,000

ธุรกิจทั่วไป

มากถึง $2,500

ธุรกิจชายขอบ

สูงสุด $1,000

ปัญหาระดับความรุนแรงสูง (high severity issue) นั้นโดยทั่วไปก็มักจะมีขอบเขตที่แคบกว่าปัญหาสำคัญ (critical issue) แต่ก็อาจจะเปิดเผยข้อมูลที่ละเอียดอ่อนของลูกค้าและบริษัทให้แก่ผู้โจมตีได้ ตัวอย่างเช่น:

  • การเขียนสคริปต์ข้ามเซิร์ฟเวอร์ (XSS) ที่ข้ามนโยบายความปลอดภัยเนื้อหา (CSP)
  • ความสามารถในการข้ามการตรวจสอบ เข้าสู่ระบบบัญชีหรืออุปกรณ์ของลูกค้า ดึงข้อมูลที่สำคัญของลูกค้า และดำเนินการโดยไม่ได้รับความยินยอม
  • การเข้าถึงโค๊ดชุดคำสั่งของระบบหลังบ้านที่ดูแลเวปไซต์ หน่วยความจำระยะยาวของเซสชั่นภายใน หรือข้อมูลที่ละเอียดอ่อนอื่นๆ
  • การใช้ประโยชน์จากปัญหาตรรกะเชิงโต้ตอบที่อาจทำให้สูญเสียลูกค้า

ปานกลาง

ธุรกิจสำคัญ

สูงสุดถึง $500

ธุรกิจทั่วไป

สูงสุดถึง $250

ธุรกิจชายขอบ

สูงสุดถึง $100

ปัญหาความรุนแรงระดับปานกลางนั้นยอมให้ผู้โจมตีเข้าถึงโดยไม่ได้รับอนุญาตเพื่ออ่านหรือแก้ไขข้อมูลที่ละเอียดอ่อนในจำนวนจำกัด โดยข้อมูลนี้มักจะมีความละเอียดอ่อนน้อยกว่าข้อมูลถูกเปิดเผยหากเป็นในกรณีปัญหาระดับความรุนแรงสูง ตัวอย่างเช่น:

  • ความสามารถในการเข้าถึงข้อมูลที่ละเอียดอ่อนของลูกค้าบางส่วน รหัสส่วนหลังของเรา หรือข้อมูลภายในบน GitHub
  • XSS หรือการส่งสคริปข้ามเว็บไซต์เพื่อโจมตี ซึ่งยังไม่ข้ามผ่านระบบไซเบอร์กายภาพหรือ CPS และยังไม่ได้ทำสิ่งใดที่ไม่ได้รับอนุญาตในเซสชันของผู้ใช้รายอื่น
  • การปลอมแปลงคำร้องขอข้ามไซต์และคำร้องขอฝั่งเซิร์ฟเวอร์ (โดยได้เข้าถึงเครือข่ายภายในของเรา)
  • การเข้าครอบครองโดเมนย่อย

ต่ำ

เราจะให้รางวัลแก่รายงานเกี่ยวกับช่องโหว่ระดับต่ำ เพียงเฉพาะ กรณีที่รายงานนั้นช่วยให้เราแก้ไขปัญหาด้านความปลอดภัยระดับรุนแรง และเราจะตัดสินใจถึงจำนวนเงินรางวัลเป็นกรณีๆไป

ปัญหาที่มีระดับความรุนแรงต่ำนั้นส่งผลกระทบโดยเผยข้อมูลจำนวนที่มีความจำกัดอย่างยิ่ง มันอาจหมายถึงการทำลายความคาดหวังเกี่ยวกับจุดประสงค์การทำงานของบางสิ่ง แต่ก็จะไม่นำสู่การเพิ่มระดับสิทธิ์ (privilege escalation) หรือความสามารถในการกระตุ้นพฤติกรรมที่ไม่ได้ตั้งใจ ตัวอย่างเช่น:

  • กระตุ้นให้หน้าจอแสดงเตือนว่ามีข้อผิดพลาดโปรแกรม แต่โดยที่ไม่มีหลักฐานของการบุกรุกเข้าการใช้ประโยชน์หรือการรับข้อมูลที่สำคัญและละเอียดอ่อน
  • การปลอมแปลงคำขอข้ามไซต์ (ไม่สำคัญ)
  • ช่องโหว่ขึ้นอยู่กับสถานการณ์ที่ยากลำบากหรือเงื่อนไขเบื้องต้น
  • บันทึกที่เปิดเผยโดยไม่มีข้อมูลที่ละเอียดอ่อน