Bug-Bounty

Erhalte Bitcoin 
für das Aufspüren von Bugs

Bug-Bounty

Erhalte Bitcoin 
für das Aufspüren von Bugs

Über

Gegründet im Jahr 2011 ist die Kraken Börse für digitale Assets eine der weltweit größten und ältesten Bitcoin-Börsen mit einer breiten Auswahl an digitalen Assets und Landeswährungen. Mit Sitz in San Francisco und weltweiten Niederlassungen wird die Kraken Trading-Plattform von unabhängigen Medien immer wieder als die beste und sicherste für digitale Assets bewertet. Hunderttausende von Tradern, Institutionen und Behörden, darunter die von der deutschen BaFin regulierte Fidor Bank vertrauen dem Unternehmen. Kraken ist die erste Börse, die ihre Marktdaten auf dem Bloomberg Terminal anzeigt und eine kryptografisch verifizierbare Prüfung des Nachweises von Rücklagen durchlaufen hat. Außerdem war Kraken die erste Börse mit einem Angebot für Spot-Trading mit Margin. Zu den Investoren von Kraken gehören Blockchain Capital, Digital Currency Group, Hummingbird Ventures und Money Partners Group.

Bug Bounty Programmübersicht

  • Kraken fördert die verantwortungsvolle Offenlegung von Sicherheitsschwachstellen durch unser Bug Bounty-Programm.
  • Die Entwickler müssen die schriftlichen Richtlinien befolgen. Diese Richtlinien sind nicht verhandelbar.
  • Wichtigste Regeln:
    • Handle nach bestem Gewissen und vermeide Verstöße gegen die Richtlinien.
    • Tu nicht mehr als nötig, um eine Schwachstelle nachzuweisen. 
    • Sprich keine Drohungen oder Lösegeldforderungen aus.
    • Melde Schwachstellen, einschließlich Anweisungen und Proof-of-Concept-Exploits, sobald diese entdeckt und validiert wurden.
  • Die Entwickler sind dafür verantwortlich, dass alle geltenden Gesetze eingehalten werden.
  • Versuche, unsere Richtlinien zu unterlaufen oder zu verletzen, führen zum sofortigen Ausschluss von diesem Programm. Drohungen oder Erpressungsversuche können an die Strafverfolgungsbehörden übermittelt werden.
  • Wenn etwas unklar ist, wende dich für weitere Informationen an [email protected].

Richtlinie

Kraken ist der festen Überzeugung, dass die Hilfe von Sicherheitsexperten und Entwicklern bei der Gewährleistung der Sicherheit unserer Produkte und Benutzer von großem Wert ist. Kraken hat ein Programm zur koordinierten Offenlegung von Sicherheitslücken (Coordinated Vulnerability Disclosure, CVD) eingerichtet und fördert dieses über sein Bug Bounty-Programm. Das Bug Bounty-Programm steht ganz im Rahmen der Mission von Kraken, Kunden auf dem digitalen Währungsmarkt zu schützen.

Wenn du nach Fehlern in Kraken Systemen suchst, verpflichtest du dich, alle Daten, Informationen zu Sicherheitslücken, deine Nachforschungen und die Kommunikation mit Kraken streng vertraulich zu behandeln, bis Kraken das Problem behoben und die Erlaubnis für die Veröffentlichung erteilt hat.

Wenn die Anforderungen dieser Richtlinie erfüllt sind, verpflichtet sich Kraken, keine rechtlichen Schritte gegen Sicherheitsforschung einzuleiten, die unter Beachtung aller veröffentlichten Richtlinien des Kraken Bug Bounty-Programms durchgeführt wird, einschließlich gutem Glauben und versehentlichen Verstößen. 

Bitte vermeide vorsätzliche Datenschutzverletzungen, indem du nach Möglichkeit Testkonten verwendest. Solltest du auf personenbezogene Daten oder andere sensible Daten von Konten stoßen, für die du keine ausdrückliche schriftliche Zustimmung des Kontoinhabers zur Validierung deiner Ergebnisse hast, beende sofort den Zugriff auf diese Daten und melde das Problem an Kraken mit einer Beschreibung der PII oder anderer sensibler Daten, nicht der Daten selbst.

In Übereinstimmung mit den Datenschutzbestimmungen und unseren Datenschutzrichtlinien musst du Folgendes beachten:

  • Du darfst keine personenbezogenen Daten anderer Kunden speichern oder übermitteln. Wenn du personenbezogene Daten eines Kunden erlangt hast, melde dies sofort Kraken und vernichte alle Kopien der Daten, die nicht dir gehören. 
  • Minimiere die Datenerfassung und den Datenzugriff während deiner Recherche. Sammle und speichere nur die Informationen, die für den Nachweis und die Meldung der Sicherheitslücke unbedingt erforderlich sind. 
  • Lösche alle gesammelten Daten sofort und sicher, nachdem du den Bericht eingereicht und Kraken den Erhalt bestätigt hat.
  • Gib keine Sicherheitslücken oder damit verbundene Informationen ohne die ausdrückliche schriftliche Zustimmung von Kraken an Dritte weiter. Dazu gehören auch soziale Medien, andere Unternehmen und die Presse.
  • Wenn du einen Datenverstoß oder den Standort eines Datenspeichers meldest, anstatt eine Sicherheitslücke, gib bitte den Standort der Daten an und greife nicht weiter darauf zu und gib den Standort der Daten nicht an andere weiter.

Eine Einreichung im Rahmen des Bug Bounty-Programms darf niemals Drohungen oder Erpressungsversuche enthalten. Wir sind offen für die Zahlung von Belohnungen für legitime Funde, Lösegeldforderungen sind jedoch nicht zur Zahlung berechtigt. So gilt es beispielsweise als Lösegeldforderung, wenn Informationen über die Sicherheitslücke nicht freigegeben oder die Behebung der Sicherheitslücke anderweitig behindert wird, bis andere Anforderungen erfüllt sind. Wir können gesetzlich verpflichtet sein oder uns freiwillig dazu entscheiden, jede Einreichung im Rahmen des Bug Bounty-Programms zu melden, die Lösegeldforderungen enthält. 

Wir glauben, dass Aktivitäten, die im Einklang mit dieser Richtlinie durchgeführt werden, als „genehmigtes“ Verhalten im Sinne des Computer Fraud and Abuse Act (CFAA), des Digital Millennium Copyright Act (DMCA) und anwendbarer Anti-Hacking-Gesetze wie Cal. Penal Code 503(c) gelten. Wir werden keine Klagen gegen Entwickler erheben, die die technologischen Maßnahmen umgehen, die wir zum Schutz der Anwendungen im Rahmen des Bug Bounty-Programms eingesetzt haben. Das Befolgen dieser Richtlinie bedeutet jedoch nicht, dass Kraken oder eine andere einzelne Organisation oder Regierung Immunität gegenüber globalen Gesetzen gewähren kann. Es liegt in der Verantwortung der einzelnen Teilnehmer, alle geltenden lokalen und internationalen Gesetze in Bezug auf Anti-Hacking, Daten und Datenschutz sowie Exportkontrollen zu verstehen und einzuhalten. Wenn ein Dritter rechtliche Schritte gegen dich einleitet und du die Bedingungen dieser Richtlinie eingehalten hast, wird Kraken die zuständigen Strafverfolgungsbehörden oder zivilen Kläger darüber informieren, dass deine Forschungsaktivitäten nach bestem Wissen und Gewissen im Rahmen der Bedingungen dieses Programms durchgeführt wurden.

Es ist erforderlich, dass jeder Entwickler uns vor der Durchführung von Handlungen benachrichtigt, die mit dieser Richtlinie möglicherweise unvereinbar sind oder von dieser nicht abgedeckt werden. Wir freuen uns über Vorschläge zur Klärung der Richtlinie, die Entwicklern helfen, ihre Forschung und Berichterstattung vertrauensvoll durchzuführen.

Prämien

Alle eingereichten Schwachstellenberichte werden von Kraken bewertet und basierend auf dem Schweregrad der Schwachstelle belohnt. Alle Auszahlungen erfolgen in BTC an dein verifiziertes Kraken Konto und dienen als Richtwert, können sich also ändern.

  • Alle Schwachstellenberichte müssen an gesendet werden. Dabei handelt es sich um den einzigen offiziellen Kontakt für dieses Programm. Verwende bitte keine externen Seiten, um Details zu Sicherheitslücken zu melden. Alle externen Seiten oder Portale sind inoffiziell und werden von Kraken nicht anerkannt.
  • Um Bug Bounty-Belohnungen zu erhalten, musst du:
  • Das Fordern von Zahlungen oder anderen Gefälligkeiten im Austausch für Details zu Sicherheitslücken führt zum sofortigen Ausschluss. Die Nichtveröffentlichung von Details zu Sicherheitslücken führt ebenfalls zum sofortigen Ausschluss.
  • Liefere detaillierte Anweisungen zur Reproduktion der Sicherheitslücke und ein Proof-of-Concept. 
  • Wenn wir deine Ergebnisse nicht reproduzieren können, ist dein Bericht nicht für eine Auszahlung berechtigt. Nutze nur Daten, die zum Nachweis einer Sicherheitslücke erforderlich sind, und gib alle extrahierten Daten unverzüglich zurück.
  • Die Weitergabe von Sicherheitslücken an andere Personen ist verboten.
  • Jeder Versuch, die in dieser Richtlinie aufgeführten Verfahren zu umgehen, führt zum sofortigen Ausschluss.
  • Gib deine Bitcoin (BTC)-Adresse für die Auszahlung an. Alle Belohnungen werden in Bitcoin ausgezahlt.
  • Die Mindestauszahlungen sind unten definiert. Alle Zahlungen können nach Ermessen von Kraken angepasst werden.
  • Der Mindestauszahlungsbetrag ist der Bitcoin-Gegenwert (BTC) von 500 USD.

Einsendeprozess

Die folgenden Schritte werden durchgeführt, um eine Bug Bounty-Einsendung zu bearbeiten:

1. Der Bericht wird an die Bug Bounty-Mailbox gesendet

2. Das Sicherheitsteam von Kraken bestätigt die Einsendung (SLA 1 Werktag)

3. Das Sicherheitsteam von Kraken überprüft die Einsendung (SLA 10 Werktage)

4. Das Sicherheitsteam von Kraken sendet eine Antwort mit der Entscheidung, ob es sich um eine Schwachstelle handelt. Die Benachrichtigung enthält den Schweregrad und die Höhe der Prämie (wir werden nach einer BTC-Adresse fragen)

5. Im Fall von Sicherheitsschwachstellen sendet Kraken die Prämie (SLA 14 Werktage)

 

AuszahlungsschlüsselSchweregradBereich
 Niedrig500 bis 1000 USD
 Mittelschwer2500 bis 5000 USD
 Hoch20.000 bis 50.000 USD
 Kritisch100.000 bis 1.500.000 USD

Programmstatistik

  • 19 Berichte, die im vergangenen Jahr ausgezeichnet wurden
  • 424 eingereichte Berichte im vergangenen Jahr
  • 2.342 USD durchschnittliche Auszahlung im vergangenen Jahr

Auszeichnungen

Im Folgenden findest du einige der Entwickler, die bereits im Rahmen des Bug Bounty-Programms von Kraken belohnt wurden.

AuszeichnungenEntwicklerBelohnung
AufgenommeneDevendra Hyalij – Twitter60.100 USD
 UGWST – Twitter40.000 USD
 Entfernt*20.000 USD
 Entfernt*20.000 USD
 Entfernt*20.000 USD
 Entfernt*18.000 USD
 Md Al Nafis Aqil Haque11.000 USD
 Entfernt*10.000 USD
 Entfernt*10.000 USD
 Entfernt*10.000 USD
 
*Name des Entwicklers wird auf Wunsch zurückgehalten
 
Diese Informationen werden vierteljährlich aktualisiert.

Schwachstellenbewertung

Kritisch

Sicherheitslücken mit kritischem Schweregrad stellen ein direktes und unmittelbares Risiko für eine Vielzahl unserer Benutzer oder für Kraken selbst dar. Sie betreffen oft relativ grundlegende Komponenten in einem unserer Anwendungsstacks oder der Infrastruktur. Beispiel:

  • willkürliche Code-/Befehlsausführung auf einem Server in unserem Produktionsnetzwerk
  • willkürliche Abfragen auf einer Produktionsdatenbank
  • Umgehung unseres Anmeldeverfahrens, entweder mit Passwort oder 2FA
  • Zugriff auf sensible Produktionsbenutzerdaten oder Zugriff auf interne Produktionssysteme

 

Hoch

Sicherheitslücken mit hohem Schweregrad ermöglichen es Angreifern, hochsensible Daten zu lesen oder zu verändern, auf die sie keinen Zugriff haben sollten. Sie sind im Allgemeinen enger gefasst als kritische Probleme, können Angreifern aber dennoch umfangreichen Zugriff gewähren. Beispiel:

  • XSS (Cross-Site Scripting), das die Content Security Policy (CSP) umgeht
  • Entdeckung sensibler Benutzerdaten in einer öffentlich zugänglichen Ressource
  • Zugriff auf ein nicht kritisches System, auf das ein Benutzerkonto keinen Zugriff haben sollte

 

Mittel

Sicherheitslücken mit mittlerem Schweregrad ermöglichen es Angreifern, begrenzte Mengen von Daten zu lesen oder zu verändern, auf die sie keinen Zugriff haben sollten. Sie gewähren im Allgemeinen Zugriff auf weniger sensible Informationen als Sicherheitslücken mit hohem Schweregrad. Beispiel:

  • Offenlegung nicht sensibler Informationen aus einem Produktionssystem, auf das Benutzer keinen Zugriff haben sollten
  • XSS, das die CSP nicht umgeht oder keine sensiblen Aktionen in der Sitzung eines anderen Benutzers ausführt
  • CSRF (Cross-Site Request Forgery) für Aktionen mit geringem Risiko

 

Niedrig

Sicherheitslücken mit niedrigem Schweregrad ermöglichen es Angreifern, auf extrem begrenzte Datenmengen zuzugreifen. Sie können zwar gegen die erwartete Funktionsweise verstoßen, erlauben Angreifern jedoch kaum eine Eskalation von Berechtigungen oder das Auslösen unbeabsichtigten Verhaltens. Beispiel:

  • Auslösen ausführlicher Fehler- oder Debug-Seiten ohne Nachweis der Ausnutzbarkeit oder des Erhalts sensibler Informationen

 

Unzulässige Meldungen

Zu den Berichten, an denen wir nicht interessiert sind und für die wir keine Prämie zahlen, gehören:

  • Schwachstellen auf von Drittanbietern gehosteten Seiten (support.kraken.com usw.), es sei denn, sie führen zu einer Schwachstelle auf der Hauptwebsite. Schwachstellen und Fehler im Kraken Blog (blog.kraken.com).
  • Schwachstellen, die auf physische Angriffe, Social Engineering, Spamming, DDOS-Angriffe usw. zurückzuführen sind.
  • Schwachstellen, die veraltete oder nicht gepatchte Browser betreffen.
  • Schwachstellen in Anwendungen von Drittanbietern, die die API von Kraken nutzen.
  • Schwachstellen, die in öffentlichen Bibliotheken oder Technologien, die in Kraken Produkten, Diensten oder Infrastrukturen verwendet werden und früher als 30 Tage nach der öffentlichen Bekanntgabe des Problems offengelegt wurden.
  • Schwachstellen, die öffentlich bekannt gemacht wurden, bevor Kraken einen umfassenden Fix herausgegeben hat.
  • Schwachstellen, die uns bereits bekannt sind oder von jemand anderem gemeldet wurden (die Belohnung geht an den Erstmelder).
  • Probleme, die nicht reproduzierbar sind.
  • Schwachstellen, die eine unwahrscheinliche Benutzerinteraktion erfordern.
  • Schwachstellen, die Root/Jailbreak auf Mobilgeräten erfordern.
  • Fehlende Sicherheits-Header ohne Nachweis der Ausnutzbarkeit.
  • Angebotene TLS Cipher Suites.
  • Vorschläge zu Best Practices.
  • Offenlegung von Softwareversionen.
  • Jeder Bericht ohne detaillierte Schritt-für-Schritt-Anweisungen und einen begleitenden Proof-of-Concept-Exploit.
  • Probleme, bei denen von uns vernünftigerweise keine Maßnahmen erwartet werden können, z. B. Probleme in technischen Spezifikationen, die Kraken zur Einhaltung dieser Standards implementieren muss.
  • Die Ausgabe von automatisierten Tools/Scannern oder KI-generierten Berichten.
  • Probleme ohne jegliche Sicherheitsauswirkungen.

 

Für die Sicherheit nicht relevante Probleme

Du kannst uns über nicht sicherheitsrelevante Probleme unter https://support.kraken.com informieren.