Bug Bounty
Bien que notre équipe d'experts ait fait tous les efforts possibles afin de réduire les bugs dans nos systèmes, il y a toujours le risque d'avoir omis un bug présentant une vulnérabilité importante. Si vous découvrez un bug, nous apprécierons si vous le rapportiez de manière responsable, le plus rapidement possible. Pour les bugs importants, nous offrons une récompense et reconnaissance sur notre tableau d'honneur (ci-dessous).
Investigation et Signalement Responsable
Investigation et signalement responsables incluent, mais ne sont pas limités à, voir ci-dessous:
- Ne faîtes pas d'intrusion dans la vie privée des autres utilisateurs, ne détruisez pas de données, ne perturbez pas nos services, etc.
- Ciblez uniquement vos propres comptes lors de votre enquête sur le bug. Ne ciblez pas, ne tentez pas d'accéder ou de perturber les comptes des autres utilisateurs.
- Ne ciblez pas nos mesures physiques de sécurité et ne tentez pas d'utiliser de l'ingénierie sociale des réseaux sociaux, spam, attaques de déni de service répandues (DDOS), etc.
- Veuillez signaler le bug uniquement à nous et personne d'autre.
- Accordez-nous un délai raisonnable pour régler le bug avant de le divulguer à quelqu'un d'autre. Aussi, veuillez nous prévenir par écrit de votre intention de le divulguer à quelqu'un d'autre.
En règle générale, veuillez enquêter et signaler les bugs de bonne foi et bonne volonté, afin de ne pas perturber ni blesser nos utilisateurs ou nous-même. Autrement, vos actions seront perçues comme une attaque au lieu d'un effort bénéfique à la sécurité.
Éligibilité
De manière générale, tout bug montrant une forte menace, soit pour la sécurité de notre site ou du système de trading, peut se voir récompensé. Cependant, la décision d'éligibilité nous appartient entièrement et ce en toute discrétion.
Les problèmes de sécurité qui seraient généralement éligibles (mais pas nécessairement dans tous les cas) incluent:
- Requête intersite de contrefaçon (CSRF)
- Script intersite (XSS)
- Injection Code
- Exécution de code à distance
- Escalade de Privilège
- Contournement de l'Authentification
- Clickjacking
- Fuite de données sensibles
Inéligibilité
Ce qui n'est pas éligible pour l'obtention d'une récompense comprend:
- Vulnérabilités sur des sites hébergés par des tiers (support.kraken.com, etc.) sauf si elles conduisent à une vulnérabilité du site web principal
- Vulnérabilités et bugs sur le blog Kraken (blog.kraken.com)
- Vulnérabilités liées aux attaques physiques, à l'ingénierie sociale des réseaux sociaux, spam, attaques DDOS, etc.
- Vulnérabilités affectant les navigateurs obsolètes ou non corrigés.
- Vulnérabilités dans les applications tierces utilisant l'API de Kraken.
- Bugs qui n'ont pas été étudiés et signalés de manière responsable.
- Bugs déjà connus, ou déjà signalés par une autre personne (la récompense va à la première personne signalant le bug).
- Problèmes que l'on ne peut pas reproduire.
- Problèmes pour lesquels on ne peut pas raisonnablement trouver de solutions.
Récompense
- Le montant minimum de la récompense pour les bugs éligibles est l'équivalent de 100 USD en Bitcoins.
- Les récompenses d'un montant supérieur au minium sont à notre discrétion, mais nous paierons beaucoup plus pour des problèmes particulièrement graves.
- Une seule récompense par bug.
Comment signaler un bug
- Envoyez votre signalement de bug à bugbounty@kraken.com.
- Essayez d'inclure autant d'informations que possible dans votre rapport, notamment une description du bug, son impact potentiel et les étapes à suivre pour le reproduire ou une preuve de concept.
- Indiquez votre nom et le lien tel que vous souhaitez qu'il soit inscrit sur notre tableau d'honneur (facultatif).
- Indiquez votre adresse BTC pour le paiement.
- Veuillez attendre 2 jours ouvrables pour une réponse avant d’envoyer un autre email.