Программа bug bounty

Безопасность — это сотрудничество. Сообщайте об ошибках и получайте вознаграждение.

О Deriv

Мы предоставляем услуги онлайн-трейдинга более чем 2 миллионам клиентов через настольные и мобильные приложения на различных платформах.

Безопасность – наш приоритет. Мы постоянно совершенствуем наши продукты и услуги, сотрудничая с независимыми специалистами в области безопасности по всему миру.

Отправьте нам электронное письмо с отчетом о баге, обнаруженном в торговых платформах или приложениях Deriv.

Сфера действия

Эта программа охватывает только активы Deriv. Если вы обнаружите баги в сторонних приложениях, сообщите о них соответствующим владельцам. Вы можете отправлять отчеты об ошибках, связанные со следующими аспектами нашей деятельности:

Важные компоненты

Наш платежный сайт: cashier.deriv.com

Сайт входа в систему: oauth.deriv.com

Наши WebSocket API: *.binaryws.com api.deriv.com

Основная торговая платформа: app.deriv.com*

*Это относится только к функциям, которые выполняет Deriv.

Классическая торговая платформа: smarttrader.deriv.com

Общие компоненты

Наши репозитории GitHub:

github.com/binary-com

Наше приложение для торговли CFD от Devexperts: dx.deriv.com

Deriv P2P: сервис одноранговых платежей (для Android, для iOS )

Deriv GO: приложение для торговли опционами (для Android, для iOS)

Deriv X: наше приложения для торговли CFD от DevExperts (для Android, для iOS)

Сайт для маркетинговых кампаний: trade.deriv.com (сторонний)

Периферийные компоненты

Сайт статических ресурсов: static.deriv.com

Наш трекер: t.deriv.com

Фид-сервер FIX для Deriv X: fix.deriv.com

Наши внутренние приложения: *.deriv.cloud

Адрес нашего блога: https://blog.deriv.com/

Эта программа не распространяется на следующие сторонние приложения:

Графический сайт: tradingview.deriv.com

Сайт программы для выпускников: besquare.deriv.com

Наша платформа для торговли CFD на базе MetaQuotes: trade.mql5.com

Сайт сообщества: community.deriv.com

Уязвимости вне сферы применения

Clickjacking на страницах без чувствительных действий

Подделка межсайтовых запросов (CSRF) на неаутентифицированных формах или формах без чувствительных действий

Атаки, требующие "человека посередине" (MITM) или физического доступа к устройству пользователя

Ранее известные уязвимые библиотеки без работающего доказательства концепции (PoC)

Открытое перенаправление — если не будет продемонстрировано дополнительное воздействие на безопасность

Результаты работы автоматических сканеров уязвимостей без PoC для демонстрации конкретной уязвимости