Kraken

Bug Bounty

Obtenez du Bitcoin 
lorsque vous trouvez des bugs de sécurité

À propos

Fondée en 2011, la plateforme d'échange d'actifs digitaux Kraken est l'une des plus grandes et des plus anciennes plateformes d'échange de bitcoins au monde avec le plus grand choix d'actifs digitaux et de devises nationales. Basée à San Francisco avec des bureaux dans le monde entier, Kraken est régulièrement classée comme la meilleure et la plus sécurisée des plateformes d'actifs digitaux par les médias d'information indépendants. Reconnue par des centaines de milliers de tradeurs, d'institutions et d'autorités, y compris la Fidor Bank, réglementée par la BaFin en Allemagne, Kraken est la première plateforme à afficher ses données de marché sur le terminal Bloomberg, à passer un audit de preuve de réserves vérifiable cryptographiquement, et la première à proposer des opérations de trading Spot avec marge. Les investisseurs de Kraken incluent Blockchain Capital, Digital Currency Group, Hummingbird Ventures et Money Partners Group.

Politique

Kraken croit fermement en la valeur des professionnels de la sécurité et des développeurs qui aident à protéger nos produits et nos utilisateurs. Kraken encourage la divulgation de manière responsable de toutes les vulnérabilités de sécurité via notre programme Bug Bounty. Le programme de Bug Bounty a pour mission de nous aider à être l'entreprise la plus fiable sur le marché des devises digitales.

Kraken s'engage à ne pas entreprendre de poursuites judiciaires pour les recherches de sécurité effectuées conformément au règlement publié du Bug Bounty Kraken, y compris la bonne foi et les violations accidentelles. Nous pensons que les activités menées conformément à cette politique constituent une conduite «autorisée» en vertu de la loi sur la fraude et les abus informatiques, le DMCA et les lois anti-piratage applicables telles que Cal. Code pénal 503 (c). Nous ne porterons pas plainte contre les chercheurs pour avoir contourné les mesures technologiques que nous avons utilisées pour protéger les applications dans le cadre du programme Bug Bounty.

Il est nécessaire que chaque chercheur soumette un avertissement avant de s'engager dans une conduite qui peut être incompatible ou non couverte par notre politique.

Récompenses

Toutes les demandes de primes sont évaluées par Kraken et payées en fonction de la cote de vulnérabilité. Tous les paiements seront effectués en BTC, sont définis à titre indicatif et peuvent être modifiés.

  • Tous les signalements de bugs doivent être soumis à bugbounty@kraken.com
  • Demander un paiement en échange de détails sur la vulnérabilité entraînera l'inéligibilité immédiate des paiements de primes. 
  • Si nous ne pouvons pas reproduire vos résultats, votre rapport ne pourra pas être payé. Nous vous demandons de fournir un rapport aussi détaillé que possible avec toutes les étapes nécessaires pour reproduire vos résultats. 
  • Incluez votre adresse Bitcoin (BTC) pour le paiement. Toutes les récompenses seront émises en Bitcoin.
  • Le paiement minimum  est l'équivalent en Bitcoin (BTC) de 500$ US.

Évaluations de vulnérabilité

Critique

Les problèmes de gravité critique présentent un risque direct et immédiat pour un large éventail de nos utilisateurs ou pour Kraken lui-même. Ils affectent souvent des composants de bas niveau / fondamentaux dans l'une de nos piles d'applications ou notre infrastructure. Par exemple:

  • Exécution arbitraire de code / commande sur un serveur de notre réseau de production.
  • Requêtes arbitraires sur une base de données de production.
  • Contournement de notre processus de connexion, que ce soit par mot de passe ou 2FA.
  • Accès aux données de production sensibles des utilisateurs ou accès à des systèmes de production.

 

Élevé

Des problèmes de gravité élevée permettent à un pirate informatique de lire ou de modifier des données hautement sensibles auxquelles il n'est pas autorisé à accéder. Ils ont généralement une portée plus étroite que les problèmes critiques, bien qu'ils puissent toujours accorder un accès étendu à un pirate. Par exemple:

  • XSS qui contourne CSP
  • Découvrir des données utilisateur sensibles dans une ressource exposée publiquement
  • Accéder à un système non critique auquel un compte d'utilisateur final ne devrait pas avoir accès

 

Moyen

Des problèmes de gravité moyenne permettent à un pirate informatique de lire ou modifier des quantités limitées de données auxquelles ils ne sont pas autorisés à accéder. Ils donnent généralement accès à des informations moins sensibles que les problèmes de gravité élevée. Par exemple:

  • Divulgation d'informations non sensibles d'un système de production auquel l'utilisateur ne devrait pas avoir accès
  • XSS qui ne contourne pas le CSP ou n'exécute pas d'actions sensibles dans la session d'un autre utilisateur
  • CSRF pour les actions à faible risque

 

Faible

Les problèmes de faible gravité permettent à un pirate d'accéder à des quantités de données extrêmement limitées. Ils peuvent violer une attente quant à la façon dont quelque chose est censé fonctionner, mais cela ne permet pratiquement aucune élévation de privilèges ou de capacité à déclencher un comportement involontaire de la part d'un pirate. Par exemple:

  • Déclencher des pages d'erreur détaillées ou de débogage sans preuve d'exploitabilité ou obtention d'informations sensibles.

 

Inéligibilité

Les rapports qui ne nous intéressent pas incluent:

  • Vulnérabilités sur les sites hébergés par des tiers (support.kraken.com, etc.) sauf si elles conduisent à une vulnérabilité sur le site principal. Vulnérabilités et bugs sur le blog Kraken (blog.kraken.com)
  • Vulnérabilités liées à une attaque physique, à l'ingénierie sociale, au spam, à une attaque DDOS, etc.
  • Vulnérabilités affectant les navigateurs obsolètes ou non corrigés.
  • Vulnérabilités dans les applications tierces qui utilisent l'API de Kraken.
  • Vulnérabilités qui n'ont pas été étudiées et signalées de manière responsable.
  • Vulnérabilités déjà connues de nous, ou déjà signalées par quelqu'un d'autre (la récompense va au premier rapporteur). Problèmes qui ne sont pas reproductibles.
  • Vulnérabilités qui nécessitent un niveau improbable d'interaction utilisateur.
  • Vulnérabilités qui nécessitent un root/jailbreak sur mobile.
  • En-têtes de sécurité manquants sans preuve d'exploitabilité.
  • Suites de chiffrement TLS offertes.
  • Suggestions de bonnes pratiques.
  • Divulgation de la version du logiciel.
  • Tout rapport sans preuve d'exploitation de concept d'accompagnement.
  • Problèmes auxquels nous ne pouvons raisonnablement pas nous attendre.
  • Le produit d'outils/scanners automatisés.
  • Problèmes sans aucun impact sur la sécurité.

 

Problèmes non liés à la sécurité

Vous pouvez nous informer des problèmes non liés à la sécurité à l'adresse https://support.kraken.com.