Kraken

Bug Bounty

Obtenga Bitcoin 
por encontrar errores de seguridad

Acerca

Fundado en 2011, Kraken Digital Asset Exchange es uno de los exchange de bitcoins más grandes y antiguos del mundo con la selección más amplia de activos digitales y divisas nacionales. Con sede en San Francisco y oficinas alrededor del mundo, la plataforma de trading de Kraken es calificada constantemente como el mejor exchange de activos digitales y el más seguro por los medios de comunicación independientes. Con la confianza de cientos de miles de traders, instituciones y autoridades, incluido Fidor Bank regulado por BaFin de Alemania, Kraken es el primer exchange que muestra sus datos de mercado en la Terminal Bloomberg, pasa una auditoría de prueba de reservas criptográficamente verificables y el primero en ofrecer operaciones al contado con margen. Los inversores de Kraken incluyen Blockchain Capital, Digital Currency Group, Hummingbird Ventures y Money Partners Group.

Muro de la fama

Las siguientes personas han contribuido al programa:

Recompensas

Todos las presentaciones de bounty son calificadas por Kraken y se pagan según la calificación de vulnerabilidad. Todos los pagos se realizarán en BTC y se definen como una guía y están sujetos a cambios.

  • Todos los informes de errores deben enviarse a [email protected]
  • Si no podemos reproducir sus hallazgos, su informe no será elegible para el pago. Le pedimos que proporcione un informe lo más detallado posible con todos los pasos necesarios para reproducir sus hallazgos. 
  • Incluya su dirección de Bitcoin (BTC) para el pago. Todas las recompensas se emitirán en Bitcoin.
  • El pago mínimo es Bitcoin (BTC) equivalente a 500 dólares americanos.
Payout ScaleSeverityRange
 Low Severity$500-$1000
 Medium Severity$2000-$3000
 High Severity$10,000-$20,000
 Critical Severity$100,000+

Problemas de gravedad crítica

Los problemas de gravedad crítica presentan un riesgo directo e inmediato para una amplia gama de nuestros usuarios o para el propio Kraken. A menudo afectan a componentes básicos/de nivel relativamente bajo en una de nuestras pilas de aplicaciones o infraestructura. Por ejemplo:

  • ejecución de código/comando arbitrario en un servidor de nuestra red de producción.
  • consultas arbitrarias en una base de datos de producción.
  • omitiendo nuestro proceso de inicio de sesión, ya sea contraseña o 2FA.
  • acceso a datos sensibles del usuario de producción o acceso a sistemas de producción internos.

 

Problemas de alta gravedad

Los problemas de alta gravedad permiten que un atacante lea o modifique datos muy sensibles a los que no está autorizado a acceder. Por lo general, tienen un alcance más limitado que los problemas críticos, aunque aún pueden otorgar un acceso extenso a un atacante. Por ejemplo:

  • XSS que omite CSP
  • Descubrir datos confidenciales del usuario en una fuente expuesta públicamente
  • Obtener acceso a un sistema no crítico al que una cuenta de usuario final no debería tener acceso

 

Problemas de gravedad media

Los problemas de gravedad media permiten que un atacante lea o modifique cantidades limitadas de datos a los que no está autorizado a acceder. Por lo general, otorgan acceso a información menos sensible que los problemas de alta gravedad. Por ejemplo:

  • Revelar información no sensible de un sistema de producción al que el usuario no debería tener acceso
  • XSS que no omite CSP o no ejecuta acciones sensibles en la sesión de otro usuario
  • CSRF para acciones de bajo riesgo

 

Problemas de baja gravedad

Los problemas de baja gravedad permiten que un atacante acceda a cantidades de datos extremadamente limitadas. Pueden violar una expectativa de cómo se pretende que algo funcione, pero no permite casi ninguna escalada de privilegios o capacidad para desencadenar un comportamiento no deseado por parte de un atacante. Por ejemplo:

  • Activación de páginas de error detalladas o de depuración sin prueba de explotación u obtención de información confidencial.

 

Inelegibilidad

  • Vulnerabilidades en sitios alojados por terceros (support.kraken.com, etc.) a menos que conduzcan a una vulnerabilidad en el sitio web principal. Vulnerabilidades y errores en el blog de Kraken (blog.kraken.com)
  • Vulnerabilidades supeditadas a ataques físicos, ingeniería social, spam, ataque DDOS, etc.
  • Vulnerabilidades que afectan a los navegadores obsoletos o no actualizados.
  • Vulnerabilidades en aplicaciones de terceros que hacen uso de la API de Kraken.
  • Vulnerabilidades que no han sido investigadas y reportadas de manera responsable.
  • Vulnerabilidades que ya conocemos o que ya ha informado otra persona (la recompensa es para la primera persona en reportar). Problemas que no se pueden reproducir.
  • Vulnerabilidades que requieren un nivel improbable de interacción del usuario.
  • Vulnerabilidades que requieren root/modificar (jailbreak) en dispositivos móviles.
  • Faltan encabezados de seguridad sin prueba de explotabilidad.
  • Se ofrecen TLS Cipher Suites.
  • Sugerencias sobre mejores prácticas.
  • Divulgación de la versión del software.
  • Cualquier informe sin un hecho de prueba de concepto adjunto.
  • Problemas sobre los que no se puede esperar razonablemente que hagamos nada.
  • El resultado de herramientas/escáneres automatizados.
  • Problemas sin ningún impacto en la seguridad.
  •  

    Problemas que no son de seguridad

    Puede informarnos sobre problemas no relacionados con la seguridad en https://support.kraken.com.

    Program Statistics

    • 84 reports rewarded in the last year
    • 1127 reports submitted in the last year
    • $998 average payout in the last year

    Clasificaciones de vulnerabilidad

    Crítica

    Los problemas de gravedad crítica presentan un riesgo directo e inmediato para una amplia gama de nuestros usuarios o para el propio Kraken. A menudo afectan a componentes básicos de nivel relativamente bajo en una de nuestras pilas de aplicaciones o infraestructura. Por ejemplo:

    • Ejecución de código/comando arbitrario en un servidor de nuestra red de producción.
    • Consultas arbitrarias en una base de datos de producción.
    • Omisión de nuestro proceso de inicio de sesión, ya sea la contraseña o la verificación en dos pasos.
    • Acceso a datos de producción confidenciales del usuario o acceso a sistemas de producción internos.

     

    Alta

    Los problemas de gravedad alta permiten que un atacante lea o modifique datos altamente confidenciales a los que no está autorizado a acceder. Por lo general, tienen un alcance más limitado que los problemas críticos, aunque aún pueden otorgar a un atacante un acceso extenso. Por ejemplo:

    • XSS que pasa por alto CSP.
    • Descubrir datos confidenciales del usuario en un recurso expuesto públicamente.
    • Obtener acceso a un sistema no crítico al que una cuenta de usuario final no debería tener acceso.

     

    Media

    Los problemas de gravedad media permiten que un atacante lea o modifique cantidades limitadas de datos a los que no está autorizado a acceder. Por lo general, otorgan acceso a información menos sensible que los problemas de gravedad alta. Por ejemplo:

    • Revelar información no sensible de un sistema de producción al que el usuario no debería tener acceso.
    • XSS que no omite CSP o no ejecuta acciones sensibles en la sesión de otro usuario.
    • CSRF para acciones de bajo riesgo

     

    Baja

    Los problemas de gravedad baja permiten que un atacante acceda a cantidades de datos extremadamente limitadas. Pueden violar una expectativa de cómo se pretende que algo funcione, pero no permite casi ninguna escalada de privilegios o capacidad para desencadenar un comportamiento no deseado por parte de un atacante. Por ejemplo:

    • Activación de páginas de error detalladas o de depuración sin prueba de explotabilidad u obtención de información confidencial.

     

    No ser elegible

    Los informes en los que no estamos interesados incluyen:

    • Vulnerabilidades en sitios alojados por terceros (support.kraken.com, etc.) a menos que den lugar a una vulnerabilidad en el sitio web principal. Vulnerabilidades y errores en el blog de Kraken (blog.kraken.com)
    • Vulnerabilidades supeditadas a ataques físicos, ingeniería social, spam, ataque DDOS, etc.
    • Vulnerabilidades que afectan a los navegadores desactualizados o sin parches.
    • Vulnerabilidades en aplicaciones de terceros que hacen uso de la API de Kraken.
    • Vulnerabilidades divulgadas públicamente en bibliotecas de terceros o tecnología utilizada en productos, servicios o infraestructura de Kraken antes de los 30 días posteriores a la divulgación pública del problema.
    • Vulnerabilidades que se publicaron antes de que Kraken emitiera una solución integral.
    • Vulnerabilidades que ya conocemos o que ya ha informado anteriormente otra persona (la recompensa es para la persona que haya hecho primero el reporte). Problemas que no se pueden reproducir.
    • Vulnerabilidades que requieren un nivel improbable de interacción del usuario..
    • Vulnerabilidades que requieren raíces/fugas en dispositivos móviles.
    • Pérdida de encabezados de seguridad sin prueba de explotabilidad.
    • Ofertas de TLS Cipher Suites.
    • Sugerencias sobre mejores prácticas.
    • Divulgación de la versión del software.
    • Cualquier informe sin ninguna prueba de concepto explotada adjunta.
    • Problemas sobre los que no se puede esperar razonablemente que hagamos nada, como problemas en las especificaciones técnicas que Kraken debe implementar para cumplir con esos estándares.
    • El resultado de herramientas/escáneres automatizados.
    • Problemas sin ningún impacto en la seguridad.

     

    Problemas no relacionados con la seguridad

    Puede informarnos sobre problemas no relacionados con la seguridad en https://support.kraken.com.

    Wall of FameResearcherAmount Rewarded
    InducteesDevendra Hyalij$45,100
     Sunil Yeda - Twitter$9,500
     Md Al Nafis Aqil Haque$8,500
     Ranjeet Kumar Singh - Twitter, LinkedIn$6,000
     Redacted*$3,800
     Gal Nagli - Twitter, LinkedIn$3,500
     
    *Researchers name withheld at their request
     
    This information is updated quarterly.

    Vulnerability Ratings

    Critical

    Critical severity issues present a direct and immediate risk to a broad array of our users or to Kraken itself. They often affect relatively low-level /foundational components in one of our application stacks or infrastructure. For example:

    • arbitrary code/command execution on a server in our production network.
    • arbitrary queries on a production database.
    • bypassing our sign-in process, either password or 2FA.
    • access to sensitive production user data or access to internal production systems.

     

    High

    High severity issues allow an attacker to read or modify highly sensitive data that they are not authorized to access. They are generally more narrow in scope than critical issues, though they may still grant an attacker extensive access. For example:

    • XSS which bypasses CSP
    • Discovering sensitive user data in a publicly exposed resource
    • Gaining access to a non-critical, system to which an end user account should not have access

     

    Medium

    Medium severity issues allow an attacker to read or modify limited amounts of data that they are not authorized to access. They generally grant access to less sensitive information than high severity issues. For example:

    • Disclosing non-sensitive information from a production system to which the user should not have access
    • XSS that does not bypass CSP or does not execute sensitive actions in another user’s session
    • CSRF for low risk actions

     

    Low

    Low severity issues allow an attacker to access extremely limited amounts of data. They may violate an expectation for how something is intended to work, but it allows nearly no escalation of privilege or ability to trigger unintended behavior by an attacker. For example:

    • Triggering verbose or debug error pages without proof of exploitability or obtaining sensitive information.

     

    Ineligibility

    Reports in which we are not interested include:

    • Vulnerabilities on sites hosted by third parties (support.kraken.com, etc) unless they lead to a vulnerability on the main website. Vulnerabilities and bugs on the Kraken blog (blog.kraken.com)
    • Vulnerabilities contingent on physical attack, social engineering, spamming, DDOS attack, etc.
    • Vulnerabilities affecting outdated or unpatched browsers.
    • Vulnerabilities in third party applications that make use of Kraken's API.
    • Vulnerabilities publicly disclosed in third party libraries or technology used in Kraken products, services, or infrastructure earlier than 30 days after the public disclosure of the issue
    • Vulnerabilities that have been released publicly prior to Kraken issuing a comprehensive fix.
    • Vulnerabilities already known to us, or already reported by someone else (reward goes to first reporter). Issues that aren't reproducible.
    • Vulnerabilities that require an improbable level of user interaction.
    • Vulnerabilities that require root/jailbreak on mobile.
    • Missing security headers without proof of exploitability.
    • TLS Cipher Suites offered.
    • Suggestions on best practices.
    • Software version disclosure.
    • Any report without an accompanying proof of concept exploit.
    • Issues that we can't reasonably be expected to do anything about, such as issues in technical specifications that Kraken must implement to conform to those standards.
    • The output from automated tools/scanners.
    • Issues without any security impact.

     

    Non-security Issues

    You can let us know about non-security issues at https://support.kraken.com.