Kraken

Bug Bounty

Obtenez du Bitcoin 
lorsque vous trouvez des bugs de sécurité

À propos

Fondée en 2011, la plateforme d'échange d'actifs digitaux Kraken est l'une des plus grandes et des plus anciennes plateformes d'échange de bitcoins au monde avec le plus grand choix d'actifs digitaux et de devises nationales. Basée à San Francisco avec des bureaux dans le monde entier, Kraken est régulièrement classée comme la meilleure et la plus sécurisée des plateformes d'actifs digitaux par les médias d'information indépendants. Reconnue par des centaines de milliers de tradeurs, d'institutions et d'autorités, y compris la Fidor Bank, réglementée par la BaFin en Allemagne, Kraken est la première plateforme à afficher ses données de marché sur le terminal Bloomberg, à passer un audit de preuve de réserves vérifiable cryptographiquement, et la première à proposer des opérations de trading Spot avec marge. Les investisseurs de Kraken incluent Blockchain Capital, Digital Currency Group, Hummingbird Ventures et Money Partners Group.

Politique

Kraken croit fermement en la valeur des professionnels de la sécurité et des développeurs qui aident à assurer la sécurité de nos produits et de nos utilisateurs. Kraken a établi et encourage la divulgation coordonnée des vulnérabilités (CVD) via notre programme de Bug Bounty. Le programme de Bug Bounty sert la mission de Kraken en aidant à protéger les clients sur le marché des devises numériques.

Kraken s'engage à ne pas entamer de poursuites judiciaires pour des recherches de sécurité effectuées conformément à toutes les politiques de Kraken Bug Bounty publiées, y compris les violations accidentelles de bonne foi. Veuillez éviter les violations délibérées de la vie privée en créant des comptes test dans la mesure du possible. Si vous rencontrez des informations identifiables ou d'autres données sensibles concernant des comptes dont vous n'avez pas reçu le consentement écrit du propriétaire pour valider vos conclusions, veuillez cesser immédiatement d'accéder à ces données et signaler le problème à Kraken avec une description des informations, pas les informations elles-mêmes. Veuillez ne pas stocker ni transmettre les données d'autres utilisateurs, et veuillez détruire toutes copies de données qui ne vous appartiennent pas et que vous avez accidentellement ou délibérément capturées au cours de votre recherche. Si vous signalez une violation de données ou l'emplacement de données au lieu d'une vulnérabilité de sécurité, veuillez indiquer l'emplacement des données et ne pas y accéder davantage, ni partager cet emplacement avec d'autres.

Nous pensons que les activités menées conformément à cette politique constituent une conduite «autorisée» en vertu du Computer Fraud and Abuse Act (CFAA), du Digital Millennium Copyright Act (DMCA) et des lois anti-piratage applicables telles que Cal. Code pénal 503(c). Nous n'allons pas intenter une action contre les chercheurs pour avoir contourné les mesures technologiques que nous avons utilisées pour protéger les applications dans le cadre du programme Bug Bounty. Cependant, suivre cette politique ne signifie pas que Kraken ni aucune autre organisation individuelle ou gouvernement peut accorder l'immunité contre les lois mondiales. Il est de la responsabilité de chaque chercheur en sécurité de comprendre et de se conformer à toutes les lois locales et internationales applicables concernant la lutte contre le piratage, les données et la confidentialité, et les contrôles à l'exportation. Si un tiers intente une action en justice contre vous et que vous suivez les termes de cette politique, Kraken informera les organismes chargés de l'application de la loi ou les plaignants civils que vos activités de recherche ont été, à notre connaissance, menées conformément et en conformité. , avec les termes et conditions de ce programme. 

Il est nécessaire que chaque chercheur nous soumette une notification avant de s'engager dans une conduite qui peut être incompatible avec ou non traitée par cette politique. Nous apprécions les suggestions de clarification des politiques qui aident les chercheurs à mener leurs observations et leurs analyses en toute confiance.

Récompenses

Toutes les demandes de primes sont évaluées par Kraken et payées en fonction de la cote de vulnérabilité. Tous les paiements seront effectués en BTC, sont définis à titre indicatif et peuvent être modifiés.

  • Tous les signalements de bugs doivent être soumis à bugbounty@kraken.com
  • Pour recevoir des paiements de bug bounty, vous devez vous inscrire au niveau Intermédiaire et fournir la documentation pour vérification. Voir aussi : https://support.kraken.com/hc/en -us/articles/36000672203-Document-requirements-for-verification
  • Demander un paiement en échange de détails sur la vulnérabilité entraînera l'inéligibilité immédiate des paiements de primes. 
  • Si nous ne pouvons pas reproduire vos résultats, votre rapport ne pourra pas être payé. Nous vous demandons de fournir un rapport aussi détaillé que possible avec toutes les étapes nécessaires pour reproduire vos résultats. 
  • Incluez votre adresse Bitcoin (BTC) pour le paiement. Toutes les récompenses seront émises en Bitcoin.
  • &
  • Les minimums de paiement sont définis ci-dessous. Tous les paiements peuvent être modifiés à la discrétion de Kraken.
  • Le paiement minimum  est l'équivalent en Bitcoin (BTC) de 500$ US.
Payout ScaleSeverityRange
 Low Severity$500-$1000
 Medium Severity$2000-$3000
 High Severity$10,000-$20,000
 Critical Severity$100,000+
  • 51 reports rewarded in the last year
  • 758$ average payout in the last year

Program Statistics

  • 84 reports rewarded in the last year
  • 1127 reports submitted in the last year
  • $998 average payout in the last year

Wall of Fame

See below some of the researchers who have been previously rewarded through Kraken's Bug Bounty program.

Wall of FameResearcherAmount Rewarded
InducteesDevendra Hyalij$8,600
 Sunil Yeda - Twitter$6,400
 Deepak Dhiman - Twitter$7,800
 Gal Nagli - Twitter, LinkedIn$3,500
 Ranjeet Kumar Singh - Twitter, LinkedIn$6,000
 Md Al Nafis Aqil Haque$5,000
 Redacted*$3,800
 
*Researchers name withheld at their request
 
This information is updated quarterly.

Vulnerability Ratings

Critical

Critical severity issues present a direct and immediate risk to a broad array of our users or to Kraken itself. They often affect relatively low-level /foundational components in one of our application stacks or infrastructure. For example:

  • arbitrary code/command execution on a server in our production network.
  • arbitrary queries on a production database.
  • bypassing our sign-in process, either password or 2FA.
  • access to sensitive production user data or access to internal production systems.

 

High

High severity issues allow an attacker to read or modify highly sensitive data that they are not authorized to access. They are generally more narrow in scope than critical issues, though they may still grant an attacker extensive access. For example:

  • XSS which bypasses CSP
  • Discovering sensitive user data in a publicly exposed resource
  • Gaining access to a non-critical, system to which an end user account should not have access

 

Medium

Medium severity issues allow an attacker to read or modify limited amounts of data that they are not authorized to access. They generally grant access to less sensitive information than high severity issues. For example:

  • Disclosing non-sensitive information from a production system to which the user should not have access
  • XSS that does not bypass CSP or does not execute sensitive actions in another user’s session
  • CSRF for low risk actions

 

Low

Low severity issues allow an attacker to access extremely limited amounts of data. They may violate an expectation for how something is intended to work, but it allows nearly no escalation of privilege or ability to trigger unintended behavior by an attacker. For example:

  • Triggering verbose or debug error pages without proof of exploitability or obtaining sensitive information.

 

Ineligibility

Reports in which we are not interested include:

  • Vulnerabilities on sites hosted by third parties (support.kraken.com, etc) unless they lead to a vulnerability on the main website. Vulnerabilities and bugs on the Kraken blog (blog.kraken.com)
  • Vulnerabilities contingent on physical attack, social engineering, spamming, DDOS attack, etc.
  • Vulnerabilities affecting outdated or unpatched browsers.
  • Vulnerabilities in third party applications that make use of Kraken's API.
  • Vulnerabilities publicly disclosed in third party libraries or technology used in Kraken products, services, or infrastructure earlier than 30 days after the public disclosure of the issue
  • Vulnerabilities that have been released publicly prior to Kraken issuing a comprehensive fix.
  • Vulnerabilities already known to us, or already reported by someone else (reward goes to first reporter). Issues that aren't reproducible.
  • Vulnerabilities that require an improbable level of user interaction.
  • Vulnerabilities that require root/jailbreak on mobile.
  • Missing security headers without proof of exploitability.
  • TLS Cipher Suites offered.
  • Suggestions on best practices.
  • Software version disclosure.
  • Any report without an accompanying proof of concept exploit.
  • Issues that we can't reasonably be expected to do anything about, such as issues in technical specifications that Kraken must implement to conform to those standards.
  • The output from automated tools/scanners.
  • Issues without any security impact.

 

Non-security Issues

You can let us know about non-security issues at https://support.kraken.com.