Bug Bounty
Si bien nuestro equipo de expertos ha hecho todos los esfuerzos posibles para eliminar todos los errores en nuestros sistemas, siempre existe la posibilidad de que nos hayamos obviado uno que representa una vulnerabilidad significativa. Si descubre un error, agradecemos su cooperación en responsablemente investigando y reportándolo a nosotros para que podamos solucionarlo lo antes posible. Para errores importantes, ofrecemos recompensa y reconocimiento en nuestro Muro de la Fama (a continuación).
Investigación y Reportes Responsables
La investigación responsable y sus reportes incluyen, entre otros, los siguientes:
- No viole la privacidad de otros usuarios, destruya datos, interrumpa nuestros servicios, etc.
- Solo apunte a sus propias cuentas en el proceso de investigar el error. No apunte, intente acceder o interrumpa las cuentas de otros usuarios.
- No apunte a nuestras medidas de seguridad física, ni intente usar ingeniería social, spam, ataques de denegación de servicio distribuido (DDOS), etc.
- Inicialmente, informe el error solo a nosotros y no a nadie más.
- Denos un tiempo razonable para corregir el error antes de divulgarlo a otra persona, y envíenos una advertencia por escrito antes de revelarla a otra persona.
En general, investigue e informe los errores de una manera que haga un esfuerzo razonable y de buena fe para no ser perjudicial o dañino para nosotros o para nuestros usuarios. De lo contrario, sus acciones podrían interpretarse como un ataque en lugar de un esfuerzo para ser útiles.
Elegibilidad
En términos generales, cualquier error que presente una vulnerabilidad significativa, ya sea para la seguridad de nuestro sitio o la integridad de nuestro sistema de trading, podría ser elegible para una recompensa. Pero es totalmente a nuestra discreción decidir si un error es lo suficientemente significativo como para ser elegible para una recompensa.
Los problemas de seguridad que normalmente serían elegibles (aunque no necesariamente en todos los casos) incluyen:
- Solicitud de falsificación entre sitios (CSRF)
- Secuencias de comandos entre sitios (XSS)
- Código de inyección
- Ejecución remota de código
- Escalamiento de privilegios
- Bypass de autenticación
- Clickjacking
- Fuga de datos sensibles
Inelegibilidad
Las cosas que no son elegibles para recompensa incluyen:
- Vulnerabilidades en sitios alojados por terceros (support.kraken.com, etc.) a menos que generen una vulnerabilidad en el sitio web principal.
- Vulnerabilidades y errores en el blog de Kraken. (blog.kraken.com)
- Vulnerabilidades supeditadas al ataque físico, ingeniería social, spamming, ataque DDOS, etc.
- Vulnerabilidades que afectan a los navegadores desactualizados o sin parchar.
- Vulnerabilidades en aplicaciones de terceros que hacen uso de la API de Kraken.
- Los errores que no se han investigado e informado de forma responsable.
- Errores ya conocidos por nosotros, o ya informados por otra persona (la recompensa va al primer reportero).
- Problemas que no son reproducibles.
- Cuestiones sobre las que no podemos razonablemente hacer nada.
Recompensa
- La recompensa mínima por errores elegibles es el equivalente a 100 USD en Bitcoins.
- Las recompensas por sobre el mínimo son a nuestra discreción, pero pagaremos significativamente más por los problemas particularmente graves.
- Sólo una recompensa por error.
Cómo reportar un error
- Envíe su informe de error a bugbounty@kraken.com.
- Intente incluir la mayor cantidad de información posible en su informe, incluida una descripción del error, su posible impacto y los pasos para reproducirlo o una prueba de concepto.
- Incluya su nombre y enlace como le gustaría que aparezca en nuestro Muro de la Fama (opcional).
- Incluya su dirección de BTC para el pago.
- Por favor, espere 2 días hábiles para que respondamos antes de enviar otro email.