โปรแกรมรางวัลล่าบั๊ก

เพราะความปลอดภัยคือความร่วมมือกัน มาช่วยรายงานช่องโหว่โปรแกรมและรับรางวัลตอบแทน

ประเภทของช่องโหว่

ระดับวิกฤต

ธุรกิจสำคัญ

มากถึง $10,000*

ธุรกิจทั่วไป

สูงสุดถึง $5,000*

ธุรกิจสนับสนุน

สูงสุดถึง $2,500*

*เราอาจจ่ายสูงกว่าสำหรับรายงานจุดบกพร่องที่สำคัญเป็นรายกรณีไป

ปัญหาขั้นวิกฤตก่อให้เกิดความเสี่ยงอย่างมากต่อลูกค้าของเราหรือต่อตัวบริษัท Deriv เอง โดยปัญหาเหล่านี้มักจะกระทบต่อองค์ประกอบระดับต่ำในโครงสร้างพื้นฐานของเรา ตัวอย่างเช่น:

  • Arbitrary code/command execution on a server in our production network
  • Arbitrary queries on a production database
  • Bypassing our sign-in process, either password or 2FA
  • Accessing sensitive production user data and internal production systems
  • Payment-related vulnerabilities that could result in loss to our clients and the company

ระดับสูง

ธุรกิจสำคัญ

มากถึง $5,000

ธุรกิจทั่วไป

มากถึง $2,500

ธุรกิจสนับสนุน

สูงสุด $1,000

ปัญหาระดับความรุนแรงสูง (high severity issue) นั้นโดยทั่วไปก็มักจะมีขอบเขตที่แคบกว่าปัญหาสำคัญ (critical issue) แต่ก็อาจจะเปิดเผยข้อมูลที่ละเอียดอ่อนของลูกค้าและบริษัทให้แก่ผู้โจมตีได้ ตัวอย่างเช่น:

  • Cross-server scripting (XSS) that bypasses content security policy (CSP)
  • The ability to bypass verification, log in to clients’ accounts or devices, extract clients’ sensitive data, and perform actions without consent
  • Gaining access to back-end code, internal session cookies, or other sensitive information
  • Exploiting interactive logic issues that can cause loss to clients

ระดับปานกลาง

ธุรกิจสำคัญ

สูงสุดถึง $500

ธุรกิจทั่วไป

สูงสุดถึง $250

ธุรกิจสนับสนุน

สูงสุดถึง $100

ปัญหาความรุนแรงระดับปานกลางนั้นยอมให้ผู้โจมตีเข้าถึงโดยไม่ได้รับอนุญาตเพื่ออ่านหรือแก้ไขข้อมูลที่ละเอียดอ่อนในจำนวนจำกัด โดยข้อมูลนี้มักจะมีความละเอียดอ่อนน้อยกว่าข้อมูลถูกเปิดเผยหากเป็นในกรณีปัญหาระดับความรุนแรงสูง ตัวอย่างเช่น:

  • The ability to access a limited portion of clients’ sensitive information, our back-end code, or internal information on GitHub
  • XSS that does not bypass CSP and does not execute unauthorised actions in another user’s session
  • Cross-site and server-side request forgery (without access to our internal network)
  • Subdomain takeover

ระดับต่ำ

เราจะให้รางวัลแก่รายงานเกี่ยวกับช่องโหว่ระดับต่ำ เพียงเฉพาะ กรณีที่รายงานนั้นช่วยให้เราแก้ไขปัญหาด้านความปลอดภัยระดับรุนแรง และเราจะตัดสินใจถึงจำนวนเงินรางวัลเป็นกรณีๆไป

ปัญหาที่มีระดับความรุนแรงต่ำนั้นส่งผลกระทบโดยเผยข้อมูลจำนวนที่มีความจำกัดอย่างยิ่ง มันอาจหมายถึงการทำลายความคาดหวังเกี่ยวกับจุดประสงค์การทำงานของบางสิ่ง แต่ก็จะไม่นำสู่การเพิ่มระดับสิทธิ์ (privilege escalation) หรือความสามารถในการกระตุ้นพฤติกรรมที่ไม่ได้ตั้งใจ ตัวอย่างเช่น:

  • Triggering debug error pages without proof of exploitability or obtaining sensitive information
  • Cross-site request forgery (non-critical)
  • Vulnerabilities depended on difficult scenarios or pre-conditions
  • Exposed logs without sensitive information