Chương trình tiền thưởng cho tìm lỗi

Bảo mật là một sự cộng tác. Báo cáo lỗi và được thưởng.

Các loại lỗ hổng

Nghiêm trọng

Nghiệp vụ quan trọng

Lên đến $10,000*

Nghiệp vụ thông thường

Lên đến $5,000*

Kinh doanh cạnh tranh

Lên đến $2,500*

*Chúng tôi có thể trả cao hơn cho các báo cáo lỗi nghiêm trọng tùy từng trường hợp.

Các vấn đề cực kỳ nghiêm trọng tiềm ẩn rủi ro rất lớn cho khách hàng của chúng tôi hoặc cho chính Deriv. Chúng thường ảnh hưởng đến các thành phần cấp tương đối thấp trong cơ sở hạ tầng của chúng tôi. Ví dụ:

  • Arbitrary code/command execution on a server in our production network
  • Arbitrary queries on a production database
  • Bypassing our sign-in process, either password or 2FA
  • Accessing sensitive production user data and internal production systems
  • Payment-related vulnerabilities that could result in loss to our clients and the company

Cao

Nghiệp vụ quan trọng

Lên đến $5,000

Nghiệp vụ thông thường

Lên đến $2,500

Kinh doanh cạnh tranh

Lên đến $1,000

Các vấn đề nghiêm trọng lớn thường có phạm vi hẹp hơn các vấn đề nghiêm trọng, nhưng chúng có thể làm lộ dữ liệu nhạy cảm của khách hàng và công ty cho những kẻ tấn công. Ví dụ:

  • Cross-server scripting (XSS) that bypasses content security policy (CSP)
  • The ability to bypass verification, log in to clients’ accounts or devices, extract clients’ sensitive data, and perform actions without consent
  • Gaining access to back-end code, internal session cookies, or other sensitive information
  • Exploiting interactive logic issues that can cause loss to clients

Trung bình

Nghiệp vụ quan trọng

Lên đến $500

Nghiệp vụ thông thường

Lên đến $250

Kinh doanh cạnh tranh

Lên đến $100

Các vấn đề có mức độ nghiêm trọng trung bình cho phép kẻ tấn công có quyền truy cập trái phép để đọc hoặc sửa đổi một lượng hạn chế dữ liệu nhạy cảm. Dữ liệu này thường ít nhạy cảm hơn các dữ liệu mà bị ảnh hưởng bởi các vấn đề nghiêm trọng cao. Ví dụ:

  • The ability to access a limited portion of clients’ sensitive information, our back-end code, or internal information on GitHub
  • XSS that does not bypass CSP and does not execute unauthorised actions in another user’s session
  • Cross-site and server-side request forgery (without access to our internal network)
  • Subdomain takeover

Thấp

Chúng tôi sẽ thưởng cho các báo cáo về lỗ hổng cấp độ thấp chỉ nếu chúng giúp chúng tôi khắc phục các vấn đề bảo mật nghiêm trọng và chúng tôi sẽ quyết định số tiền thưởng tùy từng trường hợp.

Các vấn đề có mức độ nghiêm trọng thấp biểu thị một lượng dữ liệu cực kỳ hạn chế. Chúng có thể vi phạm kỳ vọng về cách thức hoạt động của một thứ gì đó, nhưng không có sự leo thang đặc quyền hoặc khả năng gây ra hành vi ngoài ý muốn. Ví dụ:

  • Triggering debug error pages without proof of exploitability or obtaining sensitive information
  • Cross-site request forgery (non-critical)
  • Vulnerabilities depended on difficult scenarios or pre-conditions
  • Exposed logs without sensitive information