โปรแกรมรางวัลล่าบั๊ก

เพราะความปลอดภัยคือความร่วมมือกัน มาช่วยรายงานช่องโหว่โปรแกรมและรับรางวัลตอบแทน

ประเภทของช่องโหว่

ระดับวิกฤต

ธุรกิจสำคัญ

มากถึง $10,000*

ธุรกิจทั่วไป

สูงสุดถึง $5,000*

ธุรกิจสนับสนุน

สูงสุดถึง $2,500*

*เราอาจจ่ายสูงกว่าสำหรับรายงานจุดบกพร่องที่สำคัญเป็นรายกรณีไป

ปัญหาขั้นวิกฤตก่อให้เกิดความเสี่ยงอย่างมากต่อลูกค้าของเราหรือต่อตัวบริษัท Deriv เอง โดยปัญหาเหล่านี้มักจะกระทบต่อองค์ประกอบระดับต่ำในโครงสร้างพื้นฐานของเรา ตัวอย่างเช่น:

  • การเรียกใช้รหัส/คำสั่งโดยพลการบนเซิร์ฟเวอร์ในเครือข่ายการผลิตของเรา
  • แบบสอบถามแบบสุ่มเลือกบนฐานข้อมูลการผลิต
  • การข้ามขั้นตอนการลงชื่อเข้าใช้ของเรา ไม่ว่าจะเป็นการใช้รหัสผ่านหรือ 2FA
  • การเข้าถึงข้อมูลที่อ่อนไหวของผู้ใช้ผลิตภัณฑ์และระบบการผลิตภายใน
  • ช่องโหว่ที่เกี่ยวข้องกับการชำระเงินซึ่งอาจส่งผลให้เกิดการสูญเสียต่อลูกค้าและบริษัทของเรา

ระดับสูง

ธุรกิจสำคัญ

มากถึง $5,000

ธุรกิจทั่วไป

มากถึง $2,500

ธุรกิจสนับสนุน

สูงสุด $1,000

ปัญหาระดับความรุนแรงสูง (high severity issue) นั้นโดยทั่วไปก็มักจะมีขอบเขตที่แคบกว่าปัญหาสำคัญ (critical issue) แต่ก็อาจจะเปิดเผยข้อมูลที่ละเอียดอ่อนของลูกค้าและบริษัทให้แก่ผู้โจมตีได้ ตัวอย่างเช่น:

  • การเขียนสคริปต์ข้ามเซิร์ฟเวอร์ (XSS) ที่ข้ามนโยบายความปลอดภัยเนื้อหา (CSP)
  • ความสามารถในการข้ามการตรวจสอบยืนยันและเข้าสู่ระบบบัญชีหรืออุปกรณ์ของลูกค้า แล้วดึงข้อมูลที่อ่อนไหวสำคัญของลูกค้าและดำเนินการต่างๆ โดยไม่ได้รับความยินยอม
  • การเข้าถึงโค๊ดชุดคำสั่งของระบบหลังบ้านที่ดูแลเวปไซต์ หน่วยความจำระยะยาวของเซสชั่นภายใน หรือข้อมูลที่ละเอียดอ่อนอื่นๆ
  • การใช้ประโยชน์จากปัญหาตรรกะเชิงโต้ตอบที่อาจทำให้สูญเสียลูกค้า

ระดับปานกลาง

ธุรกิจสำคัญ

สูงสุดถึง $500

ธุรกิจทั่วไป

สูงสุดถึง $250

ธุรกิจสนับสนุน

สูงสุดถึง $100

ปัญหาความรุนแรงระดับปานกลางนั้นยอมให้ผู้โจมตีเข้าถึงโดยไม่ได้รับอนุญาตเพื่ออ่านหรือแก้ไขข้อมูลที่ละเอียดอ่อนในจำนวนจำกัด โดยข้อมูลนี้มักจะมีความละเอียดอ่อนน้อยกว่าข้อมูลถูกเปิดเผยหากเป็นในกรณีปัญหาระดับความรุนแรงสูง ตัวอย่างเช่น:

  • ความสามารถในการเข้าถึงข้อมูลที่อ่อนไหวบางส่วนของลูกค้า รหัสหลังบ้านของเรา หรือข้อมูลภายในบน GitHub
  • XSS หรือการส่งสคริปข้ามเว็บไซต์เพื่อโจมตี ซึ่งยังไม่ข้ามผ่านระบบไซเบอร์กายภาพหรือ CPS และยังไม่ได้ทำสิ่งใดที่ไม่ได้รับอนุญาตในเซสชันของผู้ใช้รายอื่น
  • การปลอมแปลงคำร้องขอข้ามไซต์และคำร้องขอฝั่งเซิร์ฟเวอร์ (โดยได้เข้าถึงเครือข่ายภายในของเรา)
  • การเข้าครอบครองโดเมนย่อย

ระดับต่ำ

เราจะให้รางวัลแก่รายงานเกี่ยวกับช่องโหว่ระดับต่ำ เพียงเฉพาะ กรณีที่ช่วยเราให้แก้ไขปัญหาด้านความปลอดภัยที่รุนแรง และเราจะทำการตัดสินใจเกี่ยวกับจำนวนเงินรางวัลเป็นกรณีไป

ปัญหาที่มีระดับความรุนแรงต่ำนั้นส่งผลกระทบโดยเผยข้อมูลจำนวนที่มีความจำกัดอย่างยิ่ง มันอาจหมายถึงการทำลายความคาดหวังเกี่ยวกับจุดประสงค์การทำงานของบางสิ่ง แต่ก็จะไม่นำสู่การเพิ่มระดับสิทธิ์ (privilege escalation) หรือความสามารถในการกระตุ้นพฤติกรรมที่ไม่ได้ตั้งใจ ตัวอย่างเช่น:

  • กระตุ้นให้หน้าจอแสดงเตือนว่ามีข้อผิดพลาดโปรแกรม แต่โดยที่ไม่มีหลักฐานของการบุกรุกเข้าการใช้ประโยชน์หรือการรับข้อมูลที่สำคัญและละเอียดอ่อน
  • การปลอมแปลงคำขอข้ามไซต์ (ไม่สำคัญ)
  • ช่องโหว่ขึ้นอยู่กับสถานการณ์ที่ยากลำบากหรือเงื่อนไขเบื้องต้น
  • บันทึกที่ถูกเปิดเผยแต่ไม่ได้มีข้อมูลอ่อนไหว