Kraken

Bug Bounty

Consigue Bitcoin 
por encontrar errores de seguridad

Acerca de

Fundado en 2011, Kraken Digital Asset Exchange es uno de los exchanges de bitcoins más grandes y antiguos del mundo con la mayor selección de activos digitales y divisas nacionales. Con sede en San Francisco y oficinas en todo el mundo, la plataforma de trading de Kraken ha sido calificada constantemente como el mejor y más seguro exchange de activos digitales por los medios de comunicación independientes. Con la confianza de cientos de miles de traders, instituciones y autoridades, incluido Fidor Bank (regulado por BaFin de Alemania), Kraken es el primer exchange que muestra sus datos de mercado en la Terminal Bloomberg, que pasa una auditoría de prueba de reservas criptográficamente verificables, así como el primero que ofrece operaciones al contado con margen. Entre los inversores de Kraken se encuentran Blockchain Capital, Digital Currency Group, Hummingbird Ventures y Money Partners Group.

Política

Kraken cree firmemente en el valor de los profesionales y desarrolladores de la seguridad que ayudan a mantener seguros a nuestros productos y usuarios. Kraken ha establecido y fomenta la divulgación coordinada de vulnerabilidades (CVD) a través de nuestro programa Bug Bounty. El programa Bug Bounty apoya la misión de Kraken ayudando a proteger a los clientes en el mercado de las divisas digitales.

Kraken se compromete a no iniciar acciones legales por la investigación de seguridad realizada siguiendo todas las políticas publicadas del Bug Bounty de Kraken, incluidas las infracciones accidentales de buena fe. Evite infracciones deliberadas a la privacidad creando cuentas de prueba siempre que sea posible. Si encuentra información de identificación personal u otros datos confidenciales de cuentas que no tiene el consentimiento expreso por escrito del propietario de la cuenta para utilizarlos para validar sus hallazgos, deje de acceder a esos datos de inmediato e informe del problema a Kraken con una descripción de los datos, no de los datos en sí. No almacene ni transmita los datos de otros usuarios, y destruya todas las copias de los datos que no sean suyos y que haya conseguido accidental o deliberadamente durante el transcurso de su investigación. Si informa de una violación de datos o de la ubicación de un repositorio de datos en lugar de una vulnerabilidad de seguridad, proporcione la ubicación de los datos y no acceda a ellos más, ni comparta la ubicación de los datos con otras personas.

Creemos que las actividades realizadas de acuerdo con esta política constituyen una conducta “autorizada” en virtud de la Ley de Fraude y Abuso Informático (CFAA), la Ley sobre Derechos de Autor en el Milenio Digital (DMCA) y las leyes antipiratería aplicables, como la del Código Penal de California 503(c). No presentaremos una reclamación contra los investigadores por eludir las medidas tecnológicas que hemos utilizado para proteger las aplicaciones en el ámbito del programa Bug Bounty. Sin embargo, el cumplimiento de esta política no significa que Kraken ni ninguna otra organización o Gobierno individual puedan conceder inmunidad frente a las leyes internacionales. Es responsabilidad de los investigadores de seguridad individuales comprender y cumplir todas las leyes locales e internacionales aplicables en materia de antipiratería, datos y privacidad, y control de las exportaciones. Si un tercero interpone acciones legales contra usted y usted estaba siguiendo los términos de esta política, Kraken informará a las autoridades competentes o a los demandantes civiles de que sus actividades de investigación se llevaron a cabo, a nuestro leal saber y entender, de conformidad con, y en cumplimiento de, los términos y condiciones de este programa. 

Se requiere que cada investigador nos envíe una notificación antes de adoptar una conducta que pueda ser incompatible con esta política o que no esté contemplada en ella. Agradecemos las sugerencias de aclaraciones de política que ayuden a los investigadores a llevar a cabo sus investigaciones e informes con confianza.

Recompensas

Kraken califica todos los envíos con recompensas y los paga según la calificación de la vulnerabilidad. Todos los pagos se realizarán en BTC, se definen como una guía y están sujetos a cambios.

  • Todos los informes de errores deben enviarse a [email protected]
  • Para recibir los pagos de bug bounty, debe registrarse en el nivel Intermedio y proporcionar documentación para la verificación. Consulte también: https://support.kraken.com/hc/en-us/articles/360000672203-Document-requirements-for-verification
  • La solicitud de pago a cambio de detalles de vulnerabilidad dará lugar a la inelegibilidad inmediata de los pagos de recompensas. 
  • Si no podemos reproducir sus hallazgos, su informe no podrá optar al pago. Le pedimos que proporcione un informe lo más detallado posible con todos los pasos necesarios para reproducir sus hallazgos. 
  • Incluya su dirección de Bitcoin (BTC) para el pago. Todas las recompensas se emitirán en Bitcoin.
  • Los mínimos de pago se definen a continuación. Kraken podrá modificar todos los pagos a su discreción.
  • El pago mínimo es de Bitcoin (BTC) equivalente a 500 USD.
Escala de pagosGravedadRango
 Gravedad baja500 $-1.000 $
 Gravedad media2.000 $-3.000 $
 Gravedad alta10.000 $-20.000 $
 Gravedad crítica100.000$

Estadísticas del programa

  • 84 informes recompensados en el último año
  • 1127 informes presentados en el último año
  • 998 $  de pago medio en el último año

Muro de la fama

Consulte a continuación algunos de los investigadores que se han visto recompensados anteriormente a través del programa de bug bounty de Kraken.

Muro de la famaInvestigadorCantidad recompensada
HomenajeadosDevendra Hyalij45.100$
 UGWST - Twitter$35,000
 Redacted*$20.000
 Redacted*$18,000
 Redacted*$18,000
 Sunil Yeda - Twitter9.500$
 Dr. Al Nafis Aqil Haque8.500$
 Ranjeet Kumar Singh - Twitter, LinkedIn6.000$
 Ocultado*3.800$
 
*Nombre de los investigadores ocultado a petición suya
 
Esta información se actualiza trimestralmente.

Clasificaciones de vulnerabilidad

Crítica

Los problemas de gravedad crítica suponen un riesgo directo e inmediato para una amplia serie de usuarios o para el propio Kraken. Suelen afectar a componentes básicos de nivel relativamente bajo en una de nuestras pilas de aplicaciones o infraestructura. Por ejemplo:

  • ejecución arbitraria de códigos/comandos en un servidor de nuestra red de producción.
  • consultas arbitrarias en una base de datos de producción.
  • omisión de nuestro proceso de inicio de sesión, ya sea con contraseña o verificación en dos pasos.
  • acceso a datos confidenciales de los usuarios de producción o acceso a sistemas internos de producción.

 

Alta

Los problemas de gravedad alta permiten a un atacante leer o modificar datos muy confidenciales a los que no tiene autorizado el acceso. Por lo general, su alcance es más limitado que el de los problemas críticos, aunque pueden seguir otorgando un acceso amplio a un atacante. Por ejemplo:

  • XSS que omite CSP
  • Descubrir datos confidenciales del usuario en un recurso expuesto públicamente.
  • Obtener acceso a un sistema no crítico al que no debería tener acceso una cuenta de usuario final.

 

Media

Los problemas de gravedad media permiten a un atacante leer o modificar cantidades limitadas de datos a los que no tiene autorizado el acceso. Por lo general, conceden acceso a información menos confidencial que los problemas de gravedad alta. Por ejemplo:

  • revelar información no confidencial de un sistema de producción al que el usuario no debería tener acceso.
  • XSS que no omite CSP o no ejecuta acciones confidenciales en la sesión de otro usuario.
  • CSRF para acciones de bajo riesgo.

 

Baja

Los problemas de gravedad baja permiten a un atacante acceder a cantidades de datos extremadamente limitadas. Pueden infringir una expectativa sobre cómo se pretende que funcione algo, pero casi no permite la escalada de privilegios o la capacidad de desencadenar un comportamiento no deseado por parte de un atacante. Por ejemplo:

  • activación de páginas de error detalladas o de depuración sin pruebas de explotabilidad ni obtención de información confidencial.

 

Inelegibilidad

Algunos de los informes en los que no estamos interesados son:

  • Vulnerabilidades en sitios alojados por terceros (support.kraken.com, etc.) a menos que lleven a una vulnerabilidad en el sitio web principal. Vulnerabilidades y errores en el blog de Kraken (blog.kraken.com)
  • Vulnerabilidades que dependen de ataques físicos, ingeniería social, spam, ataques DDOS, etc.
  • Vulnerabilidades que afectan a navegadores obsoletos o sin parches.
  • Vulnerabilidades en aplicaciones de terceros que utilizan la API de Kraken.
  • Vulnerabilidades divulgadas públicamente en bibliotecas o tecnología de terceros utilizadas en los productos, servicios o infraestructura de Kraken antes de los 30 días posteriores a la divulgación pública del problema.
  • Vulnerabilidades que se han divulgado públicamente antes de que Kraken emita una corrección exhaustiva.
  • Vulnerabilidades ya conocidas por nosotros o ya notificadas por otra persona (la recompensa se otorga al primer informante). Problemas que no se pueden reproducir.
  • Vulnerabilidades que requieren un nivel improbable de interacción del usuario.
  • Vulnerabilidades que requieren root/jailbreak en el móvil.
  • Faltan encabezados de seguridad sin prueba de explotabilidad.
  • Paquetes de cifrado TLS ofrecidos.
  • Sugerencias sobre las mejores prácticas.
  • Divulgación de la versión del software.
  • Cualquier informe sin una prueba de concepto de explotación que lo acompañe.
  • Problemas sobre los que no se puede esperar razonablemente que se haga nada, como los problemas en las especificaciones técnicas que Kraken debe implementar para cumplir con dichos estándares.
  • El resultado de herramientas/escáneres automatizados.
  • Problemas sin ningún impacto en la seguridad.

 

Problemas no relacionados con la seguridad.

Puede informarnos sobre los problemas que no están relacionados con la seguridad en https://support.kraken.com.