โปรแกรมรางวัลล่าบั๊ก
เพราะความปลอดภัยคือความร่วมมือกัน มาช่วยรายงานช่องโหว่โปรแกรมและรับรางวัลตอบแทน
ประเภทของช่องโหว่
ระดับวิกฤต
ธุรกิจสำคัญ
มากถึง $10,000*
ธุรกิจทั่วไป
สูงสุดถึง $5,000*
ธุรกิจสนับสนุน
สูงสุดถึง $2,500*
*เราอาจจ่ายสูงกว่าสำหรับรายงานจุดบกพร่องที่สำคัญเป็นรายกรณีไป
ปัญหาขั้นวิกฤตก่อให้เกิดความเสี่ยงอย่างมากต่อลูกค้าของเราหรือต่อตัวบริษัท Deriv เอง โดยปัญหาเหล่านี้มักจะกระทบต่อองค์ประกอบระดับต่ำในโครงสร้างพื้นฐานของเรา ตัวอย่างเช่น:
- การเรียกใช้รหัส/คำสั่งโดยพลการบนเซิร์ฟเวอร์ในเครือข่ายการผลิตของเรา
- แบบสอบถามแบบสุ่มเลือกบนฐานข้อมูลการผลิต
- การข้ามขั้นตอนการลงชื่อเข้าใช้ของเรา ไม่ว่าจะเป็นการใช้รหัสผ่านหรือ 2FA
- การเข้าถึงข้อมูลที่อ่อนไหวของผู้ใช้ผลิตภัณฑ์และระบบการผลิตภายใน
- ช่องโหว่ที่เกี่ยวข้องกับการชำระเงินซึ่งอาจส่งผลให้เกิดการสูญเสียต่อลูกค้าและบริษัทของเรา
ระดับสูง
ธุรกิจสำคัญ
มากถึง $5,000
ธุรกิจทั่วไป
มากถึง $2,500
ธุรกิจสนับสนุน
สูงสุด $1,000
ปัญหาระดับความรุนแรงสูง (high severity issue) นั้นโดยทั่วไปก็มักจะมีขอบเขตที่แคบกว่าปัญหาสำคัญ (critical issue) แต่ก็อาจจะเปิดเผยข้อมูลที่ละเอียดอ่อนของลูกค้าและบริษัทให้แก่ผู้โจมตีได้ ตัวอย่างเช่น:
- การเขียนสคริปต์ข้ามเซิร์ฟเวอร์ (XSS) ที่ข้ามนโยบายความปลอดภัยเนื้อหา (CSP)
- ความสามารถในการข้ามการตรวจสอบยืนยันและเข้าสู่ระบบบัญชีหรืออุปกรณ์ของลูกค้า แล้วดึงข้อมูลที่อ่อนไหวสำคัญของลูกค้าและดำเนินการต่างๆ โดยไม่ได้รับความยินยอม
- การเข้าถึงโค๊ดชุดคำสั่งของระบบหลังบ้านที่ดูแลเวปไซต์ หน่วยความจำระยะยาวของเซสชั่นภายใน หรือข้อมูลที่ละเอียดอ่อนอื่นๆ
- การใช้ประโยชน์จากปัญหาตรรกะเชิงโต้ตอบที่อาจทำให้สูญเสียลูกค้า
ระดับปานกลาง
ธุรกิจสำคัญ
สูงสุดถึง $500
ธุรกิจทั่วไป
สูงสุดถึง $250
ธุรกิจสนับสนุน
สูงสุดถึง $100
ปัญหาความรุนแรงระดับปานกลางนั้นยอมให้ผู้โจมตีเข้าถึงโดยไม่ได้รับอนุญาตเพื่ออ่านหรือแก้ไขข้อมูลที่ละเอียดอ่อนในจำนวนจำกัด โดยข้อมูลนี้มักจะมีความละเอียดอ่อนน้อยกว่าข้อมูลถูกเปิดเผยหากเป็นในกรณีปัญหาระดับความรุนแรงสูง ตัวอย่างเช่น:
- ความสามารถในการเข้าถึงข้อมูลที่อ่อนไหวบางส่วนของลูกค้า รหัสหลังบ้านของเรา หรือข้อมูลภายในบน GitHub
- XSS หรือการส่งสคริปข้ามเว็บไซต์เพื่อโจมตี ซึ่งยังไม่ข้ามผ่านระบบไซเบอร์กายภาพหรือ CPS และยังไม่ได้ทำสิ่งใดที่ไม่ได้รับอนุญาตในเซสชันของผู้ใช้รายอื่น
- การปลอมแปลงคำร้องขอข้ามไซต์และคำร้องขอฝั่งเซิร์ฟเวอร์ (โดยได้เข้าถึงเครือข่ายภายในของเรา)
- การเข้าครอบครองโดเมนย่อย
ระดับต่ำ
เราจะให้รางวัลแก่รายงานเกี่ยวกับช่องโหว่ระดับต่ำ เพียงเฉพาะ กรณีที่ช่วยเราให้แก้ไขปัญหาด้านความปลอดภัยที่รุนแรง และเราจะทำการตัดสินใจเกี่ยวกับจำนวนเงินรางวัลเป็นกรณีไป
ปัญหาที่มีระดับความรุนแรงต่ำนั้นส่งผลกระทบโดยเผยข้อมูลจำนวนที่มีความจำกัดอย่างยิ่ง มันอาจหมายถึงการทำลายความคาดหวังเกี่ยวกับจุดประสงค์การทำงานของบางสิ่ง แต่ก็จะไม่นำสู่การเพิ่มระดับสิทธิ์ (privilege escalation) หรือความสามารถในการกระตุ้นพฤติกรรมที่ไม่ได้ตั้งใจ ตัวอย่างเช่น:
- กระตุ้นให้หน้าจอแสดงเตือนว่ามีข้อผิดพลาดโปรแกรม แต่โดยที่ไม่มีหลักฐานของการบุกรุกเข้าการใช้ประโยชน์หรือการรับข้อมูลที่สำคัญและละเอียดอ่อน
- การปลอมแปลงคำขอข้ามไซต์ (ไม่สำคัญ)
- ช่องโหว่ขึ้นอยู่กับสถานการณ์ที่ยากลำบากหรือเงื่อนไขเบื้องต้น
- บันทึกที่ถูกเปิดเผยแต่ไม่ได้มีข้อมูลอ่อนไหว