Kraken

Bug Bounty

Obtenga Bitcoin 
por encontrar bugs

Acerca

Fundado en 2011, Kraken Digital Asset Exchange es uno de los exchange de bitcoins más grandes y antiguos del mundo con la selección más amplia de activos digitales y divisas nacionales. Con sede en San Francisco y oficinas en todo el mundo, la plataforma de trading de Kraken es calificada constantemente como el mejor exchange de activos digitales y el más seguro por los medios de comunicación independientes. Con la confianza de cientos de miles de traders, instituciones y autoridades, incluido Fidor Bank regulado por BaFin de Alemania, Kraken es el primer exchange que muestra sus datos de mercado en la Terminal Bloomberg, pasa una auditoría de prueba de reservas criptográficamente verificables y el primero en ofrecer operaciones al contado con margen. Los inversores de Kraken incluyen Blockchain Capital, Digital Currency Group, Hummingbird Ventures y Money Partners Group.

Muro de la fama

Las siguientes personas han contribuido al programa:

Recompensas

Todos las presentaciones de bounty son calificadas por Kraken y se pagan según la calificación de vulnerabilidad. Todos los pagos se realizarán en BTC y se definen como una guía y están sujetos a cambios.

  • Todos los informes de errores deben enviarse a bugbounty@kraken.com
  • Si no podemos reproducir sus hallazgos, su informe no será elegible para el pago. Le pedimos que proporcione un informe lo más detallado posible con todos los pasos necesarios para reproducir sus hallazgos. 
  • Incluya su dirección de Bitcoin (BTC) para el pago. Todas las recompensas se emitirán en Bitcoin.
  • El pago mínimo es Bitcoin (BTC) equivalente a 500 dólares americanos.

Valoraciones de vulnerabilidad

Problemas de gravedad crítica

Los problemas de gravedad crítica presentan un riesgo directo e inmediato para una amplia gama de nuestros usuarios o para el propio Kraken. A menudo afectan a componentes básicos/de nivel relativamente bajo en una de nuestras pilas de aplicaciones o infraestructura. Por ejemplo:

  • ejecución de código/comando arbitrario en un servidor de nuestra red de producción.
  • consultas arbitrarias en una base de datos de producción.
  • omitiendo nuestro proceso de inicio de sesión, ya sea contraseña o 2FA.
  • acceso a datos sensibles del usuario de producción o acceso a sistemas de producción internos.

 

Problemas de alta gravedad

Los problemas de alta gravedad permiten que un atacante lea o modifique datos muy sensibles a los que no está autorizado a acceder. Por lo general, tienen un alcance más limitado que los problemas críticos, aunque aún pueden otorgar un acceso extenso a un atacante. Por ejemplo:

  • XSS que omite CSP
  • Descubrir datos confidenciales del usuario en una fuente expuesta públicamente
  • Obtener acceso a un sistema no crítico al que una cuenta de usuario final no debería tener acceso

 

Problemas de gravedad media

Los problemas de gravedad media permiten que un atacante lea o modifique cantidades limitadas de datos a los que no está autorizado a acceder. Por lo general, otorgan acceso a información menos sensible que los problemas de alta gravedad. Por ejemplo:

  • Revelar información no sensible de un sistema de producción al que el usuario no debería tener acceso
  • XSS que no omite CSP o no ejecuta acciones sensibles en la sesión de otro usuario
  • CSRF para acciones de bajo riesgo

 

Problemas de baja gravedad

Los problemas de baja gravedad permiten que un atacante acceda a cantidades de datos extremadamente limitadas. Pueden violar una expectativa de cómo se pretende que algo funcione, pero no permite casi ninguna escalada de privilegios o capacidad para desencadenar un comportamiento no deseado por parte de un atacante. Por ejemplo:

  • Activación de páginas de error detalladas o de depuración sin prueba de explotación u obtención de información confidencial.

 

Inelegibilidad

  • Vulnerabilidades en sitios alojados por terceros (support.kraken.com, etc.) a menos que conduzcan a una vulnerabilidad en el sitio web principal. Vulnerabilidades y errores en el blog de Kraken (blog.kraken.com)
  • Vulnerabilidades supeditadas a ataques físicos, ingeniería social, spam, ataque DDOS, etc.
  • Vulnerabilidades que afectan a los navegadores obsoletos o no actualizados.
  • Vulnerabilidades en aplicaciones de terceros que hacen uso de la API de Kraken.
  • Vulnerabilidades que no han sido investigadas y reportadas de manera responsable.
  • Vulnerabilidades que ya conocemos o que ya ha informado otra persona (la recompensa es para la primera persona en reportar). Problemas que no se pueden reproducir.
  • Vulnerabilidades que requieren un nivel improbable de interacción del usuario.
  • Vulnerabilidades que requieren root/modificar (jailbreak) en dispositivos móviles.
  • Faltan encabezados de seguridad sin prueba de explotabilidad.
  • Se ofrecen TLS Cipher Suites.
  • Sugerencias sobre mejores prácticas.
  • Divulgación de la versión del software.
  • Cualquier informe sin un hecho de prueba de concepto adjunto.
  • Problemas sobre los que no se puede esperar razonablemente que hagamos nada.
  • El resultado de herramientas/escáneres automatizados.
  • Problemas sin ningún impacto en la seguridad.
  •  

    Problemas que no son de seguridad

    Puede informarnos sobre problemas no relacionados con la seguridad en https://support.kraken.com.

    Wall of Fame

    See below some of the researchers who have been previously rewarded through Kraken's Bug Bounty program.

    Wall of FameResearcherAmount Rewarded
    InducteesSunil Yeda - Twitter$6,400
     Deepak Dhiman - Twitter$4,900
     Gal Nagli - Twitter, LinkedIn$3,500
     Ranjeet Kumar Singh - Twitter, LinkedIn$2,900
    This information is updated monthly.

    Vulnerability Ratings

    Critical

    Critical severity issues present a direct and immediate risk to a broad array of our users or to Kraken itself. They often affect relatively low-level /foundational components in one of our application stacks or infrastructure. For example:

    • arbitrary code/command execution on a server in our production network.
    • arbitrary queries on a production database.
    • bypassing our sign-in process, either password or 2FA.
    • access to sensitive production user data or access to internal production systems.

     

    High

    High severity issues allow an attacker to read or modify highly sensitive data that they are not authorized to access. They are generally more narrow in scope than critical issues, though they may still grant an attacker extensive access. For example:

    • XSS which bypasses CSP
    • Discovering sensitive user data in a publicly exposed resource
    • Gaining access to a non-critical, system to which an end user account should not have access

     

    Medium

    Medium severity issues allow an attacker to read or modify limited amounts of data that they are not authorized to access. They generally grant access to less sensitive information than high severity issues. For example:

    • Disclosing non-sensitive information from a production system to which the user should not have access
    • XSS that does not bypass CSP or does not execute sensitive actions in another user’s session
    • CSRF for low risk actions

     

    Low

    Low severity issues allow an attacker to access extremely limited amounts of data. They may violate an expectation for how something is intended to work, but it allows nearly no escalation of privilege or ability to trigger unintended behavior by an attacker. For example:

    • Triggering verbose or debug error pages without proof of exploitability or obtaining sensitive information.

     

    Ineligibility

    Reports in which we are not interested include:

    • Vulnerabilities on sites hosted by third parties (support.kraken.com, etc) unless they lead to a vulnerability on the main website. Vulnerabilities and bugs on the Kraken blog (blog.kraken.com)
    • Vulnerabilities contingent on physical attack, social engineering, spamming, DDOS attack, etc.
    • Vulnerabilities affecting outdated or unpatched browsers.
    • Vulnerabilities in third party applications that make use of Kraken's API.
    • Vulnerabilities publicly disclosed in third party libraries or technology used in Kraken products, services, or infrastructure earlier than 30 days after the public disclosure of the issue
    • Vulnerabilities that have been released publicly prior to Kraken issuing a comprehensive fix.
    • Vulnerabilities already known to us, or already reported by someone else (reward goes to first reporter). Issues that aren't reproducible.
    • Vulnerabilities that require an improbable level of user interaction.
    • Vulnerabilities that require root/jailbreak on mobile.
    • Missing security headers without proof of exploitability.
    • TLS Cipher Suites offered.
    • Suggestions on best practices.
    • Software version disclosure.
    • Any report without an accompanying proof of concept exploit.
    • Issues that we can't reasonably be expected to do anything about, such as issues in technical specifications that Kraken must implement to conform to those standards.
    • The output from automated tools/scanners.
    • Issues without any security impact.

     

    Non-security Issues

    You can let us know about non-security issues at https://support.kraken.com.