Kraken

Bug Bounty

Kumuha ng Bitcoin 
para sa paghahanap ng mga security bug

Tungkol sa

Bagaman ang aming team ng mga eksperto ay pinagsusumikapang mapuksa ang lahat ng mga bug sa aming mga system, mayroon parin pagkakataon na kami'y maaring may nakaligtaan. Kung ikaw ay nakatuklas ng isang bug, pinahahalagahan namin ang iyong pakikipagtulungan sa responsableng pagsisiyasat at pagbibigay-alam nito sa amin upang amin itong matugunan sa lalong madaling panahon. Para sa mga makabuluhang bug, kami ay nag-aalok ng gantimpala at pagkilala sa aming Wall of Fame(sa ibaba).

 

Responsableng Imbestigasyon at Pag-u-ulat 

Ang mga sumusunod ay ilan sa mga responsableng imbestigasyon at pag-u-lat:

  • Huwag lumabag sa privacy ng ibang mga user, sirain ang data, gambalain ang aming mga serbisyo, atbp.
  • I-target lamang ang iyong sariling mga account sa proseso ng pagsisiyasat sa bug. Huwag mag-target, subukang mag-access, o guluhin ang mga account ng iba pang mga user.
  • Huwag i-target ang aming mga hakbang sa physical security, o pagtatangka na gumamit ng social engineering, spam, distributed denial of service (DDOS) attacks, atbp.
  • I-report lamang sa amin ang bug at hindi kung kanino man
  • Bigyan kami ng sapat na oras upang ayusin ang bug bago isiwalat ito sa ibang tao, at bigyan kami ng sapat na written warning bago isiwalat ito sa iba.

Sa pangkalahatan, mangyaring maging makatwiran, maglayon na hindi makagambala o makapinsala sa amin o sa ibang mga user sa pagiimbestiga at pagre-report ng bug. Kung hindi man, ang iyong mga aksyon ay maaaring mangahulugang isang pag-atake sa halip na pakikipagtulungan.

 

Kwalipikasyon

Sa pangkalahatan, ang anumang bug na nagdudulot ng isang makabuluhang vulnerability o kahinaan, alinman sa seguridad ng aming site o integridad ng aming trading system, ay maaaring maging karapat-dapat para sa gantimpala. Ngunit nasa amin pa ring pagpapasya kung ang isang bug ay sapat na makabuluhan upang maging karapat-dapat para sa gantimpala.

Ang mga sumusunod ay mga mga isyu sa seguridad na karaniwang magiging karapat-dapat (maaring hindi kinakailangan sa lahat ng mga kaso):

  • Cross-Site Request Forgery (CSRF)
  • Cross-Site Scripting (XSS)
  • Code Injection
  • Remote Code Execution
  • Privilege Escalation
  • Authentication Bypass
  • Clickjacking
  • Pag-leak ng mga Sensitibong Data

 

Hindi Karapat-dapat

Mga bagay na hindi karapat-dapat sa gantimpala:

  • Mga vulnerability sa mga site na pinangangasiwaan ng mga third party (support.kraken.com, atbp) malibang na lang kung mga ito ay nagdudulot ng kahinaan sa pangunahing website.
  • Mga vulnerability at mga bug sa blog ng Kraken (blog.kraken.com)
  • Mga vulnerability na maaaring maging sanhi ng pisikal na atake, social engineering, spamming, DDOS attack, atbp.
  • Mga vulnerability na nakakaapekto dahil sa outdated or unpatched na mga browser.
  • Mga Vulnerability sa mga third party application na gamit ang API ng Kraken.
  • Mga bug na  hindi pa naiimbestigahan at naire-report.
  • Mga bug na amin nang nalalaman o nai-report na ng iba (ang gantimpala ay mapupunta sa unang nag-report).
  • Mga isyu na hindi ma-reproduce.
  • Mga isyu na hindi na hindi namin maiiwasan.

 

Gantimpala

  • Ang minimum na gantimpala para sa mga karapat-dapat na mga bug ay katumbas ng 100 USD na Bitcoins.
  • Ang mga gantimpala na lagpas sa minimum ay nasa aming pagpapasya, ngunit mas malaki ang babayaran namin para sa mga mabibibigat na isyu.
  • Isang gantimpala lamang sa bawat bug.

 

Paano Mag-report ng Isang Bug

  • Ipadala ang iyong bug report sa [email protected].
  • Hangga't maaari, magbigay ng mas maraming impormasyon sa inyong report, tulad ng description ng bug, ang potensyal na epekto nito, at mga hakbang para sa pag-reproduce nito o patunay ng inyong konsepto.
  • Ilagay ang inyong pangalan at link sa kung anong nais ninyong ilagay sa Wall of Fame (opsyonal)
  • Ilagay ang inyong BTC address para sa kabayaran.
  • Mangyaring bigyan kami ng 2 araw upang tumugon sa inyo bago magpadala ng isa pang email.

 

Policy

Lubos na naniniwala si Kraken sa halaga ng mga propesyonal sa seguridad at mga developer sa pagtulong sa ang aming mga produkto at user na mapanatiling ligtas. Ang Kraken ay nagtatag at naghihikayat na gamitin ang responsableng pagsisiwalat ng lahat ng mga kahinaan sa seguridad sa aming Bug Bounty na Programa. Naghahain ang programang Bug Bounty sa misyon ng Kraken sa pamamagitan ng pagtulong sa amin upang maging pinaka mapagkakatiwalaang kumpanya sa digital currency market.

Sinang-ayunan ni Kraken na hindi simulan ang legal na aksyon para sa pananaliksik sa seguridad na ginanap kasunod ng lahat ng nai-post na mga patakaran ng Kraken Bug Bounty, kabilang na ang good faith, accidental violations.Naniniwala kami na ang mga aktibidad na isinagawa na naaayon sa patakarang ito ay binubuo ng “authorized” na conduct sa ilalim ng Computer Fraud at Abuse Act, ang DMCA, at naaangkop na anti-hacking na batas tulad ng Cal. Penal Code 503(c). Hindi kami gagawa ng isang habol laban sa mga mananaliksik para sa pag-bypass sa mga pamamaraang teknolohikal na aming ginamit upang maprotektahan ang mga application na saklaw ng Programang Bug Bounty.

Kinakailangan na ang bawat mananaliksik ay magsumite ng isang abiso sa paggamit bago mag-engage sa conduct na maaaring hindi naaayon o di natutugunan ng patakaran.

Rewards

Lahat ng pagsususmite ng bounty ay na-rate ng Kraken at bayad na base sa vulnerability rating. Lahat ng mga pagbabayad ay magpapatuloy sa BTC at tinukoy bilang isang patnubay at maaaring magbago.

  • Lahat ng mga bug report ay dapat isumite sa [email protected]
  • Upang makatanggap ng mga pagbabayad ng bug bounty, kinakailangan mong magparehistro sa Intermediate level at magbigay ng dokumentasyon para sa beripikasyon. Tingnan din ang: https://support.kraken.com/hc/en-us/articles/360000672203-Document-requirements-for-verification
  • Ang paghingi ng bayad sa exchange para sa mga detalye ng vulnerability ay magreresulta sa agarang hindi pagiging kwalipikado ng mga pagbabayad ng bounty. 
  • Kung hindi namin magawang muli ang iyong mga natuklasan, ang iyong ulat ay hindi magiging karapat-dapat para sa pagbabayad. Hinihiling namin sa iyo na magbigay ng detalyadong ulat hangga't maaari kasama ang lahat ng mga hakbang na kinakailangan upang kopyahin ang iyong mga natuklasan. 
  • Isama ang iyong Bitcoin (BTC) Address para sa Pagbabayad. Lahat ng reward ay ibibigay sa Bitcoin.
  • Ang mga minimum na pagbabayad ay tinukoy sa ibaba. Ang lahat ng pagbabayad ay maaaring mabago ayon sa pagpapasya ng Kraken.
  • Ang pinkamababang pagbabayad ay Bitcoin (BTC)  katumbas ng $500 USD.
Payout ScaleSeverityRange
 Low Severity$500-$1000
 Medium Severity$2000-$3000
 High Severity$10,000-$20,000
 Critical Severity$100,000+
  • 29 ang mga ulat ay ginantimpalaan noong nakaraang taon
  • $775 average na pagbabayad sa nakaraang taon

The following properties are in scope for bug bounty rewards

All rewards will be issued in Bitcoin

URLProperty Name
www.kraken.comMain Website
api.kraken.comREST API
  • ws.kraken.com
  • ws-auth.kraken.com
WebSockets API
futures.kraken.comKraken Futures Site
futures.kraken.com/derivatives/api/v3Kraken Futures REST API
trade.kraken.comKraken Pro Site
www.cryptowat.chCryptowatch Main Site
api.cryptowat.chCryptowatch REST API
stream.cryptowat.chCryptowatch WebSockets API
www.cryptofacilities.comCrypto Facilities Website
www.cryptofacilities.co.ukCryptofacilities UK Website
www.cfbenchmarks.comCfbenchmarks Website
www.staked.usStaked Website
cryptowat.ch/apps/desktopCryptowatch Desktop
Cryptowatch Mobile Application
Kraken Mobile Application
Kraken Pro Mobile Application
Kraken-owned assetsAny host verified to be owned and maintained by Kraken

Program Statistics

  • 84 reports rewarded in the last year
  • 1127 reports submitted in the last year
  • $998 average payout in the last year

Vulnerability Ratings

See below some of the researchers who have been previously rewarded through Kraken's Bug Bounty program.

Wall of FameResearcherAmount Rewarded
InducteesDevendra Hyalij - Twitter$53,600
 UGWST - Twitter$30,000
 Redacted*$20.000
 Md Al Nafis Aqil Haque$11,000
 Redacted*$10,000
 Sunil Yeda - Twitter$9,500
 Md Al Nafis Aqil Haque$8,500
 Ranjeet Kumar Singh - Twitter, LinkedIn$6,000
 Redacted*$3,800
 Gal Nagli - Twitter, LinkedIn$3,500
 
*Researchers name withheld at their request		 
This information is updated quarterly.

Vulnerability Ratings

Critical

Critical severity issues present a direct and immediate risk to a broad array of our users or to Kraken itself. They often affect relatively low-level /foundational components in one of our application stacks or infrastructure. For example:

  • arbitrary code/command execution on a server in our production network.
  • arbitrary queries on a production database.
  • bypassing our sign-in process, either password or 2FA.
  • access to sensitive production user data or access to internal production systems.

 

High

High severity issues allow an attacker to read or modify highly sensitive data that they are not authorized to access. They are generally more narrow in scope than critical issues, though they may still grant an attacker extensive access. For example:

  • XSS which bypasses CSP
  • Discovering sensitive user data in a publicly exposed resource
  • Gaining access to a non-critical, system to which an end user account should not have access

 

Medium

Medium severity issues allow an attacker to read or modify limited amounts of data that they are not authorized to access. They generally grant access to less sensitive information than high severity issues. For example:

  • Disclosing non-sensitive information from a production system to which the user should not have access
  • XSS that does not bypass CSP or does not execute sensitive actions in another user’s session
  • CSRF for low risk actions

 

Low

Low severity issues allow an attacker to access extremely limited amounts of data. They may violate an expectation for how something is intended to work, but it allows nearly no escalation of privilege or ability to trigger unintended behavior by an attacker. For example:

  • Triggering verbose or debug error pages without proof of exploitability or obtaining sensitive information.

 

Ineligibility

Reports in which we are not interested include:

  • Vulnerabilities on sites hosted by third parties (support.kraken.com, etc) unless they lead to a vulnerability on the main website. Vulnerabilities and bugs on the Kraken blog (blog.kraken.com)
  • Vulnerabilities contingent on physical attack, social engineering, spamming, DDOS attack, etc.
  • Vulnerabilities affecting outdated or unpatched browsers.
  • Vulnerabilities in third party applications that make use of Kraken's API.
  • Vulnerabilities publicly disclosed in third party libraries or technology used in Kraken products, services, or infrastructure earlier than 30 days after the public disclosure of the issue
  • Vulnerabilities that have been released publicly prior to Kraken issuing a comprehensive fix.
  • Vulnerabilities already known to us, or already reported by someone else (reward goes to first reporter). Issues that aren't reproducible.
  • Vulnerabilities that require an improbable level of user interaction.
  • Vulnerabilities that require root/jailbreak on mobile.
  • Missing security headers without proof of exploitability.
  • TLS Cipher Suites offered.
  • Suggestions on best practices.
  • Software version disclosure.
  • Any report without an accompanying proof of concept exploit.
  • Issues that we can't reasonably be expected to do anything about, such as issues in technical specifications that Kraken must implement to conform to those standards.
  • The output from automated tools/scanners.
  • Issues without any security impact.

 

Non-security Issues

You can let us know about non-security issues at https://support.kraken.com.