Problemas de gravedad crítica
Los problemas de gravedad crítica presentan un riesgo directo e inmediato para una amplia gama de nuestros usuarios o para el propio Kraken. A menudo afectan a componentes básicos/de nivel relativamente bajo en una de nuestras pilas de aplicaciones o infraestructura. Por ejemplo:
- ejecución de código/comando arbitrario en un servidor de nuestra red de producción.
- consultas arbitrarias en una base de datos de producción.
- omitiendo nuestro proceso de inicio de sesión, ya sea contraseña o 2FA.
- acceso a datos sensibles del usuario de producción o acceso a sistemas de producción internos.
Problemas de alta gravedad
Los problemas de alta gravedad permiten que un atacante lea o modifique datos muy sensibles a los que no está autorizado a acceder. Por lo general, tienen un alcance más limitado que los problemas críticos, aunque aún pueden otorgar un acceso extenso a un atacante. Por ejemplo:
- XSS que omite CSP
- Descubrir datos confidenciales del usuario en una fuente expuesta públicamente
- Obtener acceso a un sistema no crítico al que una cuenta de usuario final no debería tener acceso
Problemas de gravedad media
Los problemas de gravedad media permiten que un atacante lea o modifique cantidades limitadas de datos a los que no está autorizado a acceder. Por lo general, otorgan acceso a información menos sensible que los problemas de alta gravedad. Por ejemplo:
- Revelar información no sensible de un sistema de producción al que el usuario no debería tener acceso
- XSS que no omite CSP o no ejecuta acciones sensibles en la sesión de otro usuario
- CSRF para acciones de bajo riesgo
Problemas de baja gravedad
Los problemas de baja gravedad permiten que un atacante acceda a cantidades de datos extremadamente limitadas. Pueden violar una expectativa de cómo se pretende que algo funcione, pero no permite casi ninguna escalada de privilegios o capacidad para desencadenar un comportamiento no deseado por parte de un atacante. Por ejemplo:
- Activación de páginas de error detalladas o de depuración sin prueba de explotación u obtención de información confidencial.
Inelegibilidad
Vulnerabilidades en sitios alojados por terceros (support.kraken.com, etc.) a menos que conduzcan a una vulnerabilidad en el sitio web principal. Vulnerabilidades y errores en el blog de Kraken (blog.kraken.com)
Vulnerabilidades supeditadas a ataques físicos, ingeniería social, spam, ataque DDOS, etc.
Vulnerabilidades que afectan a los navegadores obsoletos o no actualizados.
Vulnerabilidades en aplicaciones de terceros que hacen uso de la API de Kraken.
Vulnerabilidades que no han sido investigadas y reportadas de manera responsable.
Vulnerabilidades que ya conocemos o que ya ha informado otra persona (la recompensa es para la primera persona en reportar). Problemas que no se pueden reproducir.
Vulnerabilidades que requieren un nivel improbable de interacción del usuario.
Vulnerabilidades que requieren root/modificar (jailbreak) en dispositivos móviles.
Faltan encabezados de seguridad sin prueba de explotabilidad.
Se ofrecen TLS Cipher Suites.
Sugerencias sobre mejores prácticas.
Divulgación de la versión del software.
Cualquier informe sin un hecho de prueba de concepto adjunto.
Problemas sobre los que no se puede esperar razonablemente que hagamos nada.
El resultado de herramientas/escáneres automatizados.
Problemas sin ningún impacto en la seguridad.
Problemas que no son de seguridad
Puede informarnos sobre problemas no relacionados con la seguridad en https://support.kraken.com.