Kraken

Bug Bounty

Tumanggap ng Bitcoin 
kapalit ng paghahanap ng mga security bug

About

Bagaman ang aming team ng mga eksperto ay pinagsusumikapang mapuksa ang lahat ng mga bug sa aming mga system, mayroon parin pagkakataon na kami'y maaring may nakaligtaan. Kung ikaw ay nakatuklas ng isang bug, pinahahalagahan namin ang iyong pakikipagtulungan sa responsableng pagsisiyasat at pagbibigay-alam nito sa amin upang amin itong matugunan sa lalong madaling panahon. Para sa mga makabuluhang bug, kami ay nag-aalok ng gantimpala at pagkilala sa aming Wall of Fame(sa ibaba).

 

Responsableng Imbestigasyon at Pag-u-ulat 

Ang mga sumusunod ay ilan sa mga responsableng imbestigasyon at pag-u-lat:

  • Huwag lumabag sa privacy ng ibang mga user, sirain ang data, gambalain ang aming mga serbisyo, atbp.
  • I-target lamang ang iyong sariling mga account sa proseso ng pagsisiyasat sa bug. Huwag mag-target, subukang mag-access, o guluhin ang mga account ng iba pang mga user.
  • Huwag i-target ang aming mga hakbang sa physical security, o pagtatangka na gumamit ng social engineering, spam, distributed denial of service (DDOS) attacks, atbp.
  • I-report lamang sa amin ang bug at hindi kung kanino man
  • Bigyan kami ng sapat na oras upang ayusin ang bug bago isiwalat ito sa ibang tao, at bigyan kami ng sapat na written warning bago isiwalat ito sa iba.

Sa pangkalahatan, mangyaring maging makatwiran, maglayon na hindi makagambala o makapinsala sa amin o sa ibang mga user sa pagiimbestiga at pagre-report ng bug. Kung hindi man, ang iyong mga aksyon ay maaaring mangahulugang isang pag-atake sa halip na pakikipagtulungan.

 

Kwalipikasyon

Sa pangkalahatan, ang anumang bug na nagdudulot ng isang makabuluhang vulnerability o kahinaan, alinman sa seguridad ng aming site o integridad ng aming trading system, ay maaaring maging karapat-dapat para sa gantimpala. Ngunit nasa amin pa ring pagpapasya kung ang isang bug ay sapat na makabuluhan upang maging karapat-dapat para sa gantimpala.

Ang mga sumusunod ay mga mga isyu sa seguridad na karaniwang magiging karapat-dapat (maaring hindi kinakailangan sa lahat ng mga kaso):

  • Cross-Site Request Forgery (CSRF)
  • Cross-Site Scripting (XSS)
  • Code Injection
  • Remote Code Execution
  • Privilege Escalation
  • Authentication Bypass
  • Clickjacking
  • Pag-leak ng mga Sensitibong Data

 

Hindi Karapat-dapat

Mga bagay na hindi karapat-dapat sa gantimpala:

  • Mga vulnerability sa mga site na pinangangasiwaan ng mga third party (support.kraken.com, atbp) malibang na lang kung mga ito ay nagdudulot ng kahinaan sa pangunahing website.
  • Mga vulnerability at mga bug sa blog ng Kraken (blog.kraken.com)
  • Mga vulnerability na maaaring maging sanhi ng pisikal na atake, social engineering, spamming, DDOS attack, atbp.
  • Mga vulnerability na nakakaapekto dahil sa outdated or unpatched na mga browser.
  • Mga Vulnerability sa mga third party application na gamit ang API ng Kraken.
  • Mga bug na  hindi pa naiimbestigahan at naire-report.
  • Mga bug na amin nang nalalaman o nai-report na ng iba (ang gantimpala ay mapupunta sa unang nag-report).
  • Mga isyu na hindi ma-reproduce.
  • Mga isyu na hindi na hindi namin maiiwasan.

 

Gantimpala

  • Ang minimum na gantimpala para sa mga karapat-dapat na mga bug ay katumbas ng 100 USD na Bitcoins.
  • Ang mga gantimpala na lagpas sa minimum ay nasa aming pagpapasya, ngunit mas malaki ang babayaran namin para sa mga mabibibigat na isyu.
  • Isang gantimpala lamang sa bawat bug.

 

Paano Mag-report ng Isang Bug

  • Ipadala ang iyong bug report sa bugbounty@kraken.com.
  • Hangga't maaari, magbigay ng mas maraming impormasyon sa inyong report, tulad ng description ng bug, ang potensyal na epekto nito, at mga hakbang para sa pag-reproduce nito o patunay ng inyong konsepto.
  • Ilagay ang inyong pangalan at link sa kung anong nais ninyong ilagay sa Wall of Fame (opsyonal)
  • Ilagay ang inyong BTC address para sa kabayaran.
  • Mangyaring bigyan kami ng 2 araw upang tumugon sa inyo bago magpadala ng isa pang email.

 

Policy

Lubos na naniniwala si Kraken sa halaga ng mga propesyonal sa seguridad at mga developer sa pagtulong sa ang aming mga produkto at user na mapanatiling ligtas. Ang Kraken ay nagtatag at naghihikayat na gamitin ang responsableng pagsisiwalat ng lahat ng mga kahinaan sa seguridad sa aming Bug Bounty na Programa. Naghahain ang programang Bug Bounty sa misyon ng Kraken sa pamamagitan ng pagtulong sa amin upang maging pinaka mapagkakatiwalaang kumpanya sa digital currency market.

Sinang-ayunan ni Kraken na hindi simulan ang legal na aksyon para sa pananaliksik sa seguridad na ginanap kasunod ng lahat ng nai-post na mga patakaran ng Kraken Bug Bounty, kabilang na ang good faith, accidental violations.Naniniwala kami na ang mga aktibidad na isinagawa na naaayon sa patakarang ito ay binubuo ng “authorized” na conduct sa ilalim ng Computer Fraud at Abuse Act, ang DMCA, at naaangkop na anti-hacking na batas tulad ng Cal. Penal Code 503(c). Hindi kami gagawa ng isang habol laban sa mga mananaliksik para sa pag-bypass sa mga pamamaraang teknolohikal na aming ginamit upang maprotektahan ang mga application na saklaw ng Programang Bug Bounty.

Kinakailangan na ang bawat mananaliksik ay magsumite ng isang abiso sa paggamit bago mag-engage sa conduct na maaaring hindi naaayon o di natutugunan ng patakaran.

Rewards

All bounty submissions are rated by Kraken and paid out based on vulnerability rating. All payouts will proceed in BTC and are defined as a guideline and subject to change.

  • All bug reports must be submitted to bugbounty@kraken.com
  • To receive bug bounty payments, you must register at the Intermediate level and provide documentation for verification. See also: https://support.kraken.com/hc/en-us/articles/360000672203-Document-requirements-for-verification
  • Asking for payment in exchange for vulnerability details will result in immediate ineligibility of bounty payments. 
  • If we cannot reproduce your findings, your report will not be eligible for payout. We ask you to provide as detailed a report as possible with all steps necessary to reproduce your findings. 
  • Include your Bitcoin (BTC) Address for Payment. All rewards will be issued in Bitcoin.
  • Payment minimums are defined below. All payments may be modified at Kraken's discretion.
  • The minimum payout is Bitcoin (BTC)  equivalent of $500 USD.

Vulnerability Ratings

  • 29 ang mga ulat ay ginantimpalaan noong nakaraang taon
  • $775 average na pagbabayad sa nakaraang taon

Wall of Fame

Tingnan sa ibaba ang ilan sa mga mananaliksik na dating ginantimpalaan sa pamamagitan ng Bug Bounty na programa ni Kraken.

Wall of FameResearcherAmount Rewarded
InducteesGal Nagli - Twitter, LinkedIn$2,000
 Gal Nagli - Twitter, LinkedIn$3,500
 Ranjeet Kumar Singh - Twitter, LinkedIn$2,900
 Ranjeet Kumar Singh - Twitter, LinkedIn$2,900
Ang impormasyon na ito ay in-uupdate kada buwan.

Vulnerability Ratings

Critical

Critical severity issues present a direct and immediate risk to a broad array of our users or to Kraken itself. They often affect relatively low-level /foundational components in one of our application stacks or infrastructure. For example:

  • arbitrary code/command execution on a server in our production network.
  • arbitrary queries on a production database.
  • bypassing our sign-in process, either password or 2FA.
  • access to sensitive production user data or access to internal production systems.

 

High

High severity issues allow an attacker to read or modify highly sensitive data that they are not authorized to access. They are generally more narrow in scope than critical issues, though they may still grant an attacker extensive access. For example:

  • XSS which bypasses CSP
  • Discovering sensitive user data in a publicly exposed resource
  • Gaining access to a non-critical, system to which an end user account should not have access

 

Medium

Medium severity issues allow an attacker to read or modify limited amounts of data that they are not authorized to access. They generally grant access to less sensitive information than high severity issues. For example:

  • Disclosing non-sensitive information from a production system to which the user should not have access
  • XSS that does not bypass CSP or does not execute sensitive actions in another user’s session
  • CSRF for low risk actions

 

Low

Low severity issues allow an attacker to access extremely limited amounts of data. They may violate an expectation for how something is intended to work, but it allows nearly no escalation of privilege or ability to trigger unintended behavior by an attacker. For example:

  • Triggering verbose or debug error pages without proof of exploitability or obtaining sensitive information.

 

Ineligibility

Reports in which we are not interested include:

  • Vulnerabilities on sites hosted by third parties (support.kraken.com, etc) unless they lead to a vulnerability on the main website. Vulnerabilities and bugs on the Kraken blog (blog.kraken.com)
  • Vulnerabilities contingent on physical attack, social engineering, spamming, DDOS attack, etc.
  • Vulnerabilities affecting outdated or unpatched browsers.
  • Vulnerabilities in third party applications that make use of Kraken's API.
  • Vulnerabilities publicly disclosed in third party libraries or technology used in Kraken products, services, or infrastructure earlier than 30 days after the public disclosure of the issue
  • Vulnerabilities that have been released publicly prior to Kraken issuing a comprehensive fix.
  • Vulnerabilities already known to us, or already reported by someone else (reward goes to first reporter). Issues that aren't reproducible.
  • Vulnerabilities that require an improbable level of user interaction.
  • Vulnerabilities that require root/jailbreak on mobile.
  • Missing security headers without proof of exploitability.
  • TLS Cipher Suites offered.
  • Suggestions on best practices.
  • Software version disclosure.
  • Any report without an accompanying proof of concept exploit.
  • Issues that we can't reasonably be expected to do anything about, such as issues in technical specifications that Kraken must implement to conform to those standards.
  • The output from automated tools/scanners.
  • Issues without any security impact.

 

Non-security Issues

You can let us know about non-security issues at https://support.kraken.com.