Bug Bounty

Consigue Bitcoin 
por encontrar errores de seguridad

Bug Bounty

Consigue Bitcoin 
por encontrar errores de seguridad

Acerca de

Fundado en 2011, Kraken Digital Asset Exchange es uno de los exchanges de bitcoins más grandes y antiguos del mundo con la mayor selección de activos digitales y divisas nacionales. Con sede en San Francisco y oficinas en todo el mundo, la plataforma de trading de Kraken ha sido calificada constantemente como el mejor y más seguro exchange de activos digitales por los medios de comunicación independientes. Con la confianza de cientos de miles de traders, instituciones y autoridades, incluido Fidor Bank (regulado por BaFin de Alemania), Kraken es el primer exchange que muestra sus datos de mercado en la Terminal Bloomberg, que pasa una auditoría de prueba de reservas criptográficamente verificables, así como el primero que ofrece operaciones al contado con margen. Entre los inversores de Kraken se encuentran Blockchain Capital, Digital Currency Group, Hummingbird Ventures y Money Partners Group.

Vista general del programa Bug Bounty

  • Kraken fomenta la divulgación responsable de las vulnerabilidades de seguridad a través de nuestro programa Bug Bounty.
  • Los investigadores deberán cumplir con la política escrita. El cumplimiento de dicha política no es negociable.
  • Principales normas:
    • Actúa de buena fe y evita incumplimientos de la política.
    • No hagas más de lo necesario solo para demostrar que existe una vulnerabilidad. 
    • No realices amenazas ni demandas de rescate.
    • Informa de las vulnerabilidades, incluyendo instrucciones y pruebas de concepto de explotación, tan pronto como se descubran y validen.
  • Los investigadores deben cumplir toda la legislación aplicable.
  • Cualquier intento de incumplir o infringir nuestra política dará lugar a la exclusión inmediata de este programa. Las amenazas o intentos de extorsión pueden remitirse a las fuerzas de seguridad.
  • Si tienes alguna duda, solicita la aclaración pertinente a [email protected].

Política

Kraken cree firmemente en el valor de los profesionales y desarrolladores de la seguridad que ayudan a mantener seguros a nuestros productos y usuarios. Kraken ha establecido y fomenta la divulgación coordinada de vulnerabilidades (CVD) a través de nuestro programa Bug Bounty. El programa Bug Bounty apoya la misión de Kraken ayudando a proteger a los clientes en el mercado de las divisas digitales.

Al buscar errores en los sistemas de Kraken, aceptas guardar la máxima confidencialidad sobre todos los datos e información de las vulnerabilidades junto con tu investigación y comunicaciones con Kraken hasta que se haya abordado el problema y se haya concedido el permiso de divulgación.

En caso de que se cumplan los requisitos de esta Política, Kraken se compromete a no iniciar acciones legales por la investigación de seguridad realizada siguiendo todas las políticas publicadas del Bug Bounty de Kraken, incluidas las infracciones accidentales de buena fe. 

Evite infracciones deliberadas a la privacidad creando cuentas de prueba siempre que sea posible. Si encuentras información personal identificable (‘IPI’) u otros datos sensibles de cuentas para las que no tienes el consentimiento expreso por escrito del propietario de la cuenta para utilizarlos para validar tus hallazgos, deja de acceder a esos datos de inmediato e informa del problema a Kraken con una descripción de la IPI u otros datos confidenciales, no de los datos en sí.

De acuerdo con las normativas en materia de protección de datos y nuestras políticas de privacidad, debes:

  • No almacenar ni transmitir la IPI de otros clientes. Si por casualidad detectas IPI de algún cliente, informar a Kraken inmediatamente al respecto y destruir todas las copias de la IPI que no te corresponda. 
  • Minimizar la recopilación de datos y accesos en tu investigación. Solo recopilar y guardar la información estrictamente necesaria para demostrar la vulnerabilidad e informar al respecto. 
  • Eliminar de inmediato y de manera segura todos los datos recopilados una vez que el informe se haya enviado y hayas recibido una confirmación de recepción por parte de Kraken.
  • No revelar las vulnerabilidades o información relacionada a terceros sin el consentimiento expreso por escrito de Kraken. Esto incluye, entre otros, las redes sociales, otras empresas y la prensa.
  • Si informa de una violación de datos o de la ubicación de un repositorio de datos en lugar de una vulnerabilidad de seguridad, proporcione la ubicación de los datos y no acceda a ellos más, ni comparta la ubicación de los datos con otras personas.

Un bug bounty nunca debe contener amenazas ni intentos de extorsión. Estamos dispuestos a pagar recompensas por hallazgos legítimos, pero las demandas de rescate no cumplen con los requisitos para recibir pagos. Por ejemplo, si no se revela la información sobre la vulnerabilidad o si se impide de cualquier otra manera su resolución antes de que se cumplan otras exigencias, esto se considerará una petición de rescate. Es posible que la ley nos exija informar sobre cualquier envío de bug bounty que contenga demandas de rescate o que decidamos hacerlo de forma voluntaria. 

Creemos que las actividades realizadas de acuerdo con esta política constituyen una conducta “autorizada” en virtud de la Ley de Fraude y Abuso Informático (CFAA), la Ley sobre Derechos de Autor en el Milenio Digital (DMCA) y las leyes antipiratería aplicables, como la del Código Penal de California 503(c). No presentaremos una reclamación contra los investigadores por eludir las medidas tecnológicas que hemos utilizado para proteger las aplicaciones en el ámbito del programa Bug Bounty. Sin embargo, el cumplimiento de esta política no significa que Kraken ni ninguna otra organización o Gobierno individual puedan conceder inmunidad frente a las leyes internacionales. Es responsabilidad de los investigadores de seguridad individuales comprender y cumplir todas las leyes locales e internacionales aplicables en materia de antipiratería, datos y privacidad, y control de las exportaciones. Si un tercero interpone acciones legales contra usted y usted estaba siguiendo los términos de esta política, Kraken informará a las autoridades competentes o a los demandantes civiles de que sus actividades de investigación se llevaron a cabo, a nuestro leal saber y entender, de conformidad con, y en cumplimiento de, los términos y condiciones de este programa.

Se requiere que cada investigador nos envíe una notificación antes de adoptar una conducta que pueda ser incompatible con esta política o que no esté contemplada en ella. Agradecemos las sugerencias de aclaraciones de política que ayuden a los investigadores a llevar a cabo sus investigaciones e informes con confianza.

Recompensas

Kraken califica todos los envíos con recompensas y los paga según la calificación de la vulnerabilidad. Todos los pagos se realizarán en BTC en tu cuenta de Kraken verificada, se definen como una guía y están sujetos a cambios.

  • Todos los informes de errores deben enviarse a , el contacto oficial para este programa. No uses sitios externos para enviar los detalles de vulnerabilidad. Los sitios y portales externos no son oficiales y no están aprobados por Kraken.
  • Para recibir pagos bug bounty, debes:
  • La solicitud de pago u otra retribución a cambio de detalles de vulnerabilidad dará lugar a la inelegibilidad inmediata de los pagos de recompensas. Si los detalles de vulnerabilidad no se revelan, esto también dará lugar a la inelegibilidad inmediata de los pagos de recompensas.
  • Proporciona instrucciones detalladas para reproducir la vulnerabilidad y una prueba de concepto. 
  • Si no podemos reproducir sus hallazgos, su informe no podrá optar al pago. Usa solo lo que haga falta para demostrar una vulnerabilidad de seguridad y devuelve de inmediato los activos que se hayan extraído.
  • Revelar la vulnerabilidad a otras personas está prohibido.
  • Cualquier intento de omitir los procedimientos descritos en esta política dará lugar a la inelegibilidad inmediata de los pagos de recompensas. 
  • Incluya su dirección de Bitcoin (BTC) para el pago. Todas las recompensas se emitirán en Bitcoin.
  • Los mínimos de pago se definen a continuación. Kraken podrá modificar todos los pagos a su discreción.
  • El pago mínimo es de Bitcoin (BTC) equivalente a 500 USD.

Proceso de envío

Para procesar un envío de Bug Bounty, se realizan los siguientes pasos:

1. Se envía el informe al buzón de correo de bug bounty

2. El Departamento de Seguridad de Kraken acusa recibo del envío (en un plazo de un día laborable de acuerdo con el SLA)

3. El Departamento de Seguridad de Kraken clasifica el envío (en un plazo de 10 días laborables de acuerdo con el SLA)

4. El Departamento de Seguridad de Kraken envía una respuesta con la resolución; si se considera que existe una vulnerabilidad, la notificación incluye el nivel de gravedad y el importe de la recompensa (te pediremos una dirección BTC)

5. En el caso de vulnerabilidades de seguridad, Kraken enviará una recompensa (en un plazo de 14 días laborables de acuerdo con el SLA)

 

Escala de pagosGravedadRango
 Gravedad baja500$-1.000$
 Gravedad media2.500$-5.000$
 Gravedad alta20.000$-50.000$
 Gravedad crítica100.000 $-1.500.000 $

Estadísticas del programa

  • 19 informes recompensados en el último año
  • 424 informes presentados en el último año
  • 2.342 USD de pago medio en el último año

Muro de la fama

Consulte a continuación algunos de los investigadores que se han visto recompensados anteriormente a través del programa de bug bounty de Kraken.

Muro de la famaInvestigadorCantidad recompensada
HomenajeadosDevendra Hyalij: Twitter60.100$
bug_bounty][0d8de70af19f][field_table_row_headerRedacted*$50500
 UGWST: Twitter40.000 USD
 Ocultado*20.000$
 Ocultado*20.000 USD
 Ocultado*20.000 USD
 Ocultado*18.000 $
 Dr. Al Nafis Aqil Haque11.000 $
 Ocultado*10.000 $
 Ocultado*10.000 $
 Ocultado*10.000 $
 
*El nombre del investigador se ha ocultado por solicitud
 
Esta información se actualiza trimestralmente.

Clasificaciones de vulnerabilidad

Crítica

Los problemas de gravedad crítica suponen un riesgo directo e inmediato para una amplia serie de usuarios o para el propio Kraken. Suelen afectar a componentes básicos de nivel relativamente bajo en una de nuestras pilas de aplicaciones o infraestructura. Por ejemplo:

  • ejecución arbitraria de códigos/comandos en un servidor de nuestra red de producción.
  • consultas arbitrarias en una base de datos de producción.
  • omisión de nuestro proceso de inicio de sesión, ya sea con contraseña o verificación en dos pasos.
  • acceso a datos confidenciales de los usuarios de producción o acceso a sistemas internos de producción.

 

Alto

Los problemas de gravedad alta permiten a un atacante leer o modificar datos muy confidenciales a los que no tiene autorizado el acceso. Por lo general, su alcance es más limitado que el de los problemas críticos, aunque pueden seguir otorgando un acceso amplio a un atacante. Por ejemplo:

  • XSS que omite CSP
  • Descubrir datos confidenciales del usuario en un recurso expuesto públicamente.
  • Obtener acceso a un sistema no crítico al que no debería tener acceso una cuenta de usuario final.

 

Medio

Los problemas de gravedad media permiten a un atacante leer o modificar cantidades limitadas de datos a los que no tiene autorizado el acceso. Por lo general, conceden acceso a información menos confidencial que los problemas de gravedad alta. Por ejemplo:

  • revelar información no confidencial de un sistema de producción al que el usuario no debería tener acceso.
  • XSS que no omite CSP o no ejecuta acciones confidenciales en la sesión de otro usuario.
  • CSRF para acciones de bajo riesgo.

 

Bajo

Los problemas de gravedad baja permiten a un atacante acceder a cantidades de datos extremadamente limitadas. Pueden infringir una expectativa sobre cómo se pretende que funcione algo, pero casi no permite la escalada de privilegios o la capacidad de desencadenar un comportamiento no deseado por parte de un atacante. Por ejemplo:

  • activación de páginas de error detalladas o de depuración sin pruebas de explotabilidad ni obtención de información confidencial.

 

Inelegibilidad

Entre los informes que no nos interesan y no cumplen los requisitos para recibir recompensas se incluyen:

  • Vulnerabilidades en sitios alojados por terceros (support.kraken.com, etc.) a menos que lleven a una vulnerabilidad en el sitio web principal. Vulnerabilidades y errores en el blog de Kraken (blog.kraken.com).
  • Vulnerabilidades que dependen de ataques físicos, ingeniería social, spam, ataques DDOS, etc.
  • Vulnerabilidades que afectan a navegadores obsoletos o sin parches.
  • Vulnerabilidades en aplicaciones de terceros que utilizan la API de Kraken.
  • Vulnerabilidades divulgadas públicamente en bibliotecas o tecnología de terceros utilizadas en los productos, servicios o infraestructura de Kraken antes de los 30 días posteriores a la divulgación pública del problema.
  • Vulnerabilidades que se han divulgado públicamente antes de que Kraken emita una corrección exhaustiva.
  • Vulnerabilidades ya conocidas por nosotros o ya notificadas por otra persona (la recompensa se otorga al primer informante).
  • Problemas que no se pueden reproducir.
  • Vulnerabilidades que requieren un nivel improbable de interacción del usuario.
  • Vulnerabilidades que requieren root/jailbreak en el móvil.
  • Faltan encabezados de seguridad sin prueba de explotabilidad.
  • Paquetes de cifrado TLS ofrecidos.
  • Sugerencias sobre las mejores prácticas.
  • Divulgación de la versión del software.
  • Cualquier informe sin instrucciones detalladas paso a paso ni una prueba de concepto de explotación que lo acompañen.
  • Problemas sobre los que no se puede esperar razonablemente que se haga nada, como los problemas en las especificaciones técnicas que Kraken debe implementar para cumplir con dichos estándares.
  • El resultado de herramientas/escáneres automatizados o informes generados por la IA.
  • Problemas sin ningún impacto en la seguridad.

 

Problemas no relacionados con la seguridad.

Puede informarnos sobre los problemas que no están relacionados con la seguridad en https://support.kraken.com.