Kraken

Bug Bounty

Obtenga Bitcoin 
por encontrar bugs

Acerca

Fundado en 2011, Kraken Digital Asset Exchange es uno de los exchange de bitcoins más grandes y antiguos del mundo con la selección más amplia de activos digitales y divisas nacionales. Con sede en San Francisco y oficinas en todo el mundo, la plataforma de trading de Kraken es calificada constantemente como el mejor exchange de activos digitales y el más seguro por los medios de comunicación independientes. Con la confianza de cientos de miles de traders, instituciones y autoridades, incluido Fidor Bank regulado por BaFin de Alemania, Kraken es el primer exchange que muestra sus datos de mercado en la Terminal Bloomberg, pasa una auditoría de prueba de reservas criptográficamente verificables y el primero en ofrecer operaciones al contado con margen. Los inversores de Kraken incluyen Blockchain Capital, Digital Currency Group, Hummingbird Ventures y Money Partners Group.

Muro de la fama

Las siguientes personas han contribuido al programa:

Recompensas

Todos las presentaciones de bounty son calificadas por Kraken y se pagan según la calificación de vulnerabilidad. Todos los pagos se realizarán en BTC y se definen como una guía y están sujetos a cambios.

  • Todos los informes de errores deben enviarse a bugbounty@kraken.com
  • Si no podemos reproducir sus hallazgos, su informe no será elegible para el pago. Le pedimos que proporcione un informe lo más detallado posible con todos los pasos necesarios para reproducir sus hallazgos. 
  • Incluya su dirección de Bitcoin (BTC) para el pago. Todas las recompensas se emitirán en Bitcoin.
  • El pago mínimo es Bitcoin (BTC) equivalente a 500 dólares americanos.

Valoraciones de vulnerabilidad

Problemas de gravedad crítica

Los problemas de gravedad crítica presentan un riesgo directo e inmediato para una amplia gama de nuestros usuarios o para el propio Kraken. A menudo afectan a componentes básicos/de nivel relativamente bajo en una de nuestras pilas de aplicaciones o infraestructura. Por ejemplo:

  • ejecución de código/comando arbitrario en un servidor de nuestra red de producción.
  • consultas arbitrarias en una base de datos de producción.
  • omitiendo nuestro proceso de inicio de sesión, ya sea contraseña o 2FA.
  • acceso a datos sensibles del usuario de producción o acceso a sistemas de producción internos.

 

Problemas de alta gravedad

Los problemas de alta gravedad permiten que un atacante lea o modifique datos muy sensibles a los que no está autorizado a acceder. Por lo general, tienen un alcance más limitado que los problemas críticos, aunque aún pueden otorgar un acceso extenso a un atacante. Por ejemplo:

  • XSS que omite CSP
  • Descubrir datos confidenciales del usuario en una fuente expuesta públicamente
  • Obtener acceso a un sistema no crítico al que una cuenta de usuario final no debería tener acceso

 

Problemas de gravedad media

Los problemas de gravedad media permiten que un atacante lea o modifique cantidades limitadas de datos a los que no está autorizado a acceder. Por lo general, otorgan acceso a información menos sensible que los problemas de alta gravedad. Por ejemplo:

  • Revelar información no sensible de un sistema de producción al que el usuario no debería tener acceso
  • XSS que no omite CSP o no ejecuta acciones sensibles en la sesión de otro usuario
  • CSRF para acciones de bajo riesgo

 

Problemas de baja gravedad

Los problemas de baja gravedad permiten que un atacante acceda a cantidades de datos extremadamente limitadas. Pueden violar una expectativa de cómo se pretende que algo funcione, pero no permite casi ninguna escalada de privilegios o capacidad para desencadenar un comportamiento no deseado por parte de un atacante. Por ejemplo:

  • Activación de páginas de error detalladas o de depuración sin prueba de explotación u obtención de información confidencial.

 

Inelegibilidad

  • Vulnerabilidades en sitios alojados por terceros (support.kraken.com, etc.) a menos que conduzcan a una vulnerabilidad en el sitio web principal. Vulnerabilidades y errores en el blog de Kraken (blog.kraken.com)
  • Vulnerabilidades supeditadas a ataques físicos, ingeniería social, spam, ataque DDOS, etc.
  • Vulnerabilidades que afectan a los navegadores obsoletos o no actualizados.
  • Vulnerabilidades en aplicaciones de terceros que hacen uso de la API de Kraken.
  • Vulnerabilidades que no han sido investigadas y reportadas de manera responsable.
  • Vulnerabilidades que ya conocemos o que ya ha informado otra persona (la recompensa es para la primera persona en reportar). Problemas que no se pueden reproducir.
  • Vulnerabilidades que requieren un nivel improbable de interacción del usuario.
  • Vulnerabilidades que requieren root/modificar (jailbreak) en dispositivos móviles.
  • Faltan encabezados de seguridad sin prueba de explotabilidad.
  • Se ofrecen TLS Cipher Suites.
  • Sugerencias sobre mejores prácticas.
  • Divulgación de la versión del software.
  • Cualquier informe sin un hecho de prueba de concepto adjunto.
  • Problemas sobre los que no se puede esperar razonablemente que hagamos nada.
  • El resultado de herramientas/escáneres automatizados.
  • Problemas sin ningún impacto en la seguridad.
  •  

    Problemas que no son de seguridad

    Puede informarnos sobre problemas no relacionados con la seguridad en https://support.kraken.com.