Bug Bounty
Aunque nuestro equipo de expertos ha hecho todo lo posible para aplastar todos los errores en nuestros sistemas, siempre existe la posibilidad de que se nos haya pasado uno que represente una vulnerabilidad significativa. Si usted descubre un error, le agradecemos su cooperación para investigarlo responsablemente y reportarlo a nosotros para que podamos solucionarlo lo antes posible. Para errores significativos, ofrecemos recompensa y reconocimiento en nuestro Muro de la Fama (a continuación).
Investigación y elaboración de informes responsables
La investigación y el informe responsable incluye, pero no se limita a, lo siguiente:
- No viole la privacidad de otros usuarios, destruya datos, interrumpa nuestros servicios, etc.
- Solo apunte a sus propias cuentas en el proceso de investigar el error. No apunte, intente acceder o interrumpa las cuentas de otros usuarios.
- No apunte a nuestras medidas de seguridad física, ni intente usar ingeniería social, spam, ataques de denegación de servicio distribuido (DDOS), etc.
- Inicialmente, informe el error solo a nosotros y no a nadie más.
- Denos un tiempo razonable para corregir el error antes de divulgarlo a otra persona, y envíenos una advertencia por escrito antes de revelarla a otra persona
En general, investigue e informe los errores de una manera que haga un esfuerzo razonable y de buena fe para no ser perjudicial o dañino para nosotros o para nuestros usuarios. De lo contrario, sus acciones podrían interpretarse como un ataque en lugar de un esfuerzo para ser útiles.
Elegibilidad
En términos generales, cualquier error que presente una vulnerabilidad significativa, ya sea para la seguridad de nuestro sitio o la integridad de nuestro sistema de trading, podría ser elegible para una recompensa. Pero es totalmente a nuestra discreción decidir si un error es lo suficientemente significativo como para ser elegible para una recompensa.
Los problemas de seguridad que normalmente serían elegibles (aunque no necesariamente en todos los casos) incluyen:
- Solicitud de falsificación entre sitios (CSRF)
- Secuencias de comandos entre sitios (XSS)
- Código de inyección
- Ejecución remota de código
- Escalamiento de privilegios
- Bypass de autenticación
- Clickjacking
- Fuga de datos sensibles
Inelegibilidad
Las cosas que no son elegibles para recompensa incluyen:
- Vulnerabilidades en sitios alojados por terceros (support.kraken.com, etc.) a menos que generen una vulnerabilidad en el sitio web principal.
- Vulnerabilidades y errores en el blog de Kraken. (blog.kraken.com)
- Vulnerabilidades supeditadas al ataque físico, ingeniería social, spamming, ataque DDOS, etc.
- Vulnerabilidades que afectan a los navegadores desactualizados o sin parchar.
- Vulnerabilidades en aplicaciones de terceros que hacen uso de la API de Kraken.
- Los errores que no se han investigado e informado de forma responsable.
- Errores ya conocidos por nosotros, o ya informados por otra persona (la recompensa va al primer reportero).
- Problemas que no son reproducibles.
- Cuestiones sobre las que no podemos razonablemente hacer nada.
Recompensa
- La recompensa mínima por errores elegibles es el equivalente a 100 USD en Bitcoins.
- Las recompensas por sobre el mínimo son a nuestra discreción, pero pagaremos significativamente más por los problemas particularmente graves.
- Sólo una recompensa por error.
Cómo reportar un error
- Envíe su informe de error a bugbounty@kraken.com.
- Intente incluir la mayor cantidad de información posible en su informe, incluida una descripción del error, su posible impacto y los pasos para reproducirlo o una prueba de concepto.
- Incluya su dirección de BTC para el pago.
- Por favor, espere 2 días hábiles para que respondamos antes de enviar otro email.