Chương trình tiền thưởng cho tìm lỗi

Bảo mật là một sự cộng tác. Báo cáo lỗi và được thưởng.

Các loại lỗ hổng

Nghiêm trọng

Nghiệp vụ quan trọng

Lên đến $10,000*

Nghiệp vụ thông thường

Lên đến $5,000*

Kinh doanh cạnh tranh

Lên đến $2,500*

*Chúng tôi có thể trả cao hơn cho các báo cáo lỗi nghiêm trọng tùy từng trường hợp.

Các vấn đề cực kỳ nghiêm trọng tiềm ẩn rủi ro rất lớn cho khách hàng của chúng tôi hoặc cho chính Deriv. Chúng thường ảnh hưởng đến các thành phần cấp tương đối thấp trong cơ sở hạ tầng của chúng tôi. Ví dụ:

  • Thực thi mã/lệnh tùy ý trên máy chủ trong mạng sản xuất của chúng tôi
  • Truy vấn tùy ý trên cơ sở dữ liệu sản xuất
  • Bỏ qua quy trình đăng nhập của chúng tôi, kể cả mật khẩu hoặc 2FA
  • Truy cập dữ liệu sản xuất nhạy cảm về người dùng và hệ thống sản xuất nội bộ
  • Các lỗ hổng liên quan đến thanh toán có thể dẫn đến tổn thất cho khách hàng và công ty của chúng tôi

Cao

Nghiệp vụ quan trọng

Lên đến $5,000

Nghiệp vụ thông thường

Lên đến $2,500

Kinh doanh cạnh tranh

Lên đến $1,000

Các vấn đề nghiêm trọng lớn thường có phạm vi hẹp hơn các vấn đề nghiêm trọng, nhưng chúng có thể làm lộ dữ liệu nhạy cảm của khách hàng và công ty cho những kẻ tấn công. Ví dụ:

  • Tập lệnh trên nhiều máy chủ (XSS) bỏ qua chính sách bảo mật nội dung (CSP)
  • Khả năng bỏ qua xác minh, đăng nhập vào tài khoản hoặc thiết bị của khách hàng, trích xuất dữ liệu nhạy cảm của khách hàng và thực hiện các hành động mà không cần sự đồng ý
  • Có được quyền truy cập vào mã back-end, cookie phiên nội bộ hoặc thông tin nhạy cảm khác
  • Khai thác các vấn đề logic tương tác có thể gây ra tổn thất cho khách hàng

Trung bình

Nghiệp vụ quan trọng

Lên đến $500

Nghiệp vụ thông thường

Lên đến $250

Kinh doanh cạnh tranh

Lên đến $100

Các vấn đề có mức độ nghiêm trọng trung bình cho phép kẻ tấn công có quyền truy cập trái phép để đọc hoặc sửa đổi một lượng hạn chế dữ liệu nhạy cảm. Dữ liệu này thường ít nhạy cảm hơn các dữ liệu mà bị ảnh hưởng bởi các vấn đề nghiêm trọng cao. Ví dụ:

  • Khả năng truy cập một phần hạn chế thông tin nhạy cảm của khách hàng, mã back-end của chúng tôi hoặc thông tin nội bộ trên GitHub
  • XSS không bỏ qua CSP và không thực hiện các hành động trái phép trong phiên của người dùng khác
  • Giả mạo yêu cầu trên nhiều trang web và phía máy chủ (không có quyền truy cập vào mạng nội bộ của chúng tôi)
  • Tiếp quản miền phụ

Thấp

Chúng tôi sẽ thưởng cho các báo cáo về lỗ hổng cấp độ thấp chỉ nếu chúng giúp chúng tôi khắc phục các vấn đề bảo mật nghiêm trọng và chúng tôi sẽ quyết định số tiền thưởng tùy từng trường hợp.

Các vấn đề có mức độ nghiêm trọng thấp biểu thị một lượng dữ liệu cực kỳ hạn chế. Chúng có thể vi phạm kỳ vọng về cách thức hoạt động của một thứ gì đó, nhưng không có sự leo thang đặc quyền hoặc khả năng gây ra hành vi ngoài ý muốn. Ví dụ:

  • Kích hoạt các trang gỡ lỗi mà không có bằng chứng về khả năng khai thác hoặc lấy thông tin nhạy cảm
  • Giả mạo yêu cầu trên nhiều trang web (không quan trọng)
  • Các lỗ hổng phụ thuộc vào các tình huống khó khăn hoặc các tiền điều kiện
  • Thể hiện các lưu chép mà không có chứa thông tin nhạy cảm