Kraken

Bug Bounty

Obtenez du Bitcoin 
lorsque vous trouvez des bugs de sécurité

À propos

Fondée en 2011, la plateforme d'échange d'actifs digitaux Kraken est l'une des plus grandes et des plus anciennes plateformes d'échange de bitcoins au monde avec le plus grand choix d'actifs digitaux et de devises nationales. Basée à San Francisco avec des bureaux dans le monde entier, Kraken est régulièrement classée comme la meilleure et la plus sécurisée des plateformes d'actifs digitaux par les médias d'information indépendants. Reconnue par des centaines de milliers de tradeurs, d'institutions et d'autorités, y compris la Fidor Bank, réglementée par la BaFin en Allemagne, Kraken est la première plateforme à afficher ses données de marché sur le terminal Bloomberg, à passer un audit de preuve de réserves vérifiable cryptographiquement, et la première à proposer des opérations de trading Spot avec marge. Les investisseurs de Kraken incluent Blockchain Capital, Digital Currency Group, Hummingbird Ventures et Money Partners Group.

Politique

Kraken croit fermement en la valeur des professionnels de la sécurité et des développeurs qui aident à protéger nos produits et nos utilisateurs. Kraken encourage la divulgation de manière responsable de toutes les vulnérabilités de sécurité via notre programme Bug Bounty. Le programme de Bug Bounty a pour mission de nous aider à être l'entreprise la plus fiable sur le marché des devises digitales.

Kraken s'engage à ne pas entreprendre de poursuites judiciaires pour les recherches de sécurité effectuées conformément au règlement publié du Bug Bounty Kraken, y compris la bonne foi et les violations accidentelles. Nous pensons que les activités menées conformément à cette politique constituent une conduite «autorisée» en vertu de la loi sur la fraude et les abus informatiques, le DMCA et les lois anti-piratage applicables telles que Cal. Code pénal 503 (c). Nous ne porterons pas plainte contre les chercheurs pour avoir contourné les mesures technologiques que nous avons utilisées pour protéger les applications dans le cadre du programme Bug Bounty.

Il est nécessaire que chaque chercheur soumette un avertissement avant de s'engager dans une conduite qui peut être incompatible ou non couverte par notre politique.

Récompenses

Toutes les demandes de primes sont évaluées par Kraken et payées en fonction de la cote de vulnérabilité. Tous les paiements seront effectués en BTC, sont définis à titre indicatif et peuvent être modifiés.

  • Tous les signalements de bugs doivent être soumis à bugbounty@kraken.com
  • Demander un paiement en échange de détails sur la vulnérabilité entraînera l'inéligibilité immédiate des paiements de primes. 
  • Si nous ne pouvons pas reproduire vos résultats, votre rapport ne pourra pas être payé. Nous vous demandons de fournir un rapport aussi détaillé que possible avec toutes les étapes nécessaires pour reproduire vos résultats. 
  • Incluez votre adresse Bitcoin (BTC) pour le paiement. Toutes les récompenses seront émises en Bitcoin.
  • Le paiement minimum  est l'équivalent en Bitcoin (BTC) de 500$ US.

Évaluations de vulnérabilité

Critique

Les problèmes de gravité critique présentent un risque direct et immédiat pour un large éventail de nos utilisateurs ou pour Kraken lui-même. Ils affectent souvent des composants de bas niveau / fondamentaux dans l'une de nos piles d'applications ou notre infrastructure. Par exemple:

  • Exécution arbitraire de code / commande sur un serveur de notre réseau de production.
  • Requêtes arbitraires sur une base de données de production.
  • Contournement de notre processus de connexion, que ce soit par mot de passe ou 2FA.
  • Accès aux données de production sensibles des utilisateurs ou accès à des systèmes de production.

 

Élevé

Des problèmes de gravité élevée permettent à un pirate informatique de lire ou de modifier des données hautement sensibles auxquelles il n'est pas autorisé à accéder. Ils ont généralement une portée plus étroite que les problèmes critiques, bien qu'ils puissent toujours accorder un accès étendu à un pirate. Par exemple:

  • XSS qui contourne CSP
  • Découvrir des données utilisateur sensibles dans une ressource exposée publiquement
  • Accéder à un système non critique auquel un compte d'utilisateur final ne devrait pas avoir accès

 

Moyen

Des problèmes de gravité moyenne permettent à un pirate informatique de lire ou modifier des quantités limitées de données auxquelles ils ne sont pas autorisés à accéder. Ils donnent généralement accès à des informations moins sensibles que les problèmes de gravité élevée. Par exemple:

  • Divulgation d'informations non sensibles d'un système de production auquel l'utilisateur ne devrait pas avoir accès
  • XSS qui ne contourne pas le CSP ou n'exécute pas d'actions sensibles dans la session d'un autre utilisateur
  • CSRF pour les actions à faible risque

 

Faible

Les problèmes de faible gravité permettent à un pirate d'accéder à des quantités de données extrêmement limitées. Ils peuvent violer une attente quant à la façon dont quelque chose est censé fonctionner, mais cela ne permet pratiquement aucune élévation de privilèges ou de capacité à déclencher un comportement involontaire de la part d'un pirate. Par exemple:

  • Déclencher des pages d'erreur détaillées ou de débogage sans preuve d'exploitabilité ou obtention d'informations sensibles.

 

Inéligibilité

Les rapports qui ne nous intéressent pas incluent:

  • Vulnérabilités sur les sites hébergés par des tiers (support.kraken.com, etc.) sauf si elles conduisent à une vulnérabilité sur le site principal. Vulnérabilités et bugs sur le blog Kraken (blog.kraken.com)
  • Vulnérabilités liées à une attaque physique, à l'ingénierie sociale, au spam, à une attaque DDOS, etc.
  • Vulnérabilités affectant les navigateurs obsolètes ou non corrigés.
  • Vulnérabilités dans les applications tierces qui utilisent l'API de Kraken.
  • Vulnérabilités qui n'ont pas été étudiées et signalées de manière responsable.
  • Vulnérabilités déjà connues de nous, ou déjà signalées par quelqu'un d'autre (la récompense va au premier rapporteur). Problèmes qui ne sont pas reproductibles.
  • Vulnérabilités qui nécessitent un niveau improbable d'interaction utilisateur.
  • Vulnérabilités qui nécessitent un root/jailbreak sur mobile.
  • En-têtes de sécurité manquants sans preuve d'exploitabilité.
  • Suites de chiffrement TLS offertes.
  • Suggestions de bonnes pratiques.
  • Divulgation de la version du logiciel.
  • Tout rapport sans preuve d'exploitation de concept d'accompagnement.
  • Problèmes auxquels nous ne pouvons raisonnablement pas nous attendre.
  • Le produit d'outils/scanners automatisés.
  • Problèmes sans aucun impact sur la sécurité.

 

Problèmes non liés à la sécurité

Vous pouvez nous informer des problèmes non liés à la sécurité à l'adresse https://support.kraken.com.

Wall of Fame

See below some of the researchers who have been previously rewarded through Kraken's Bug Bounty program.

Wall of FameResearcherAmount Rewarded
InducteesSunil Yeda - Twitter$6,400
 Gal Nagli - Twitter, LinkedIn$3,500
 Ranjeet Kumar Singh - Twitter, LinkedIn$2,900
This information is updated monthly.

Vulnerability Ratings

Critical

Critical severity issues present a direct and immediate risk to a broad array of our users or to Kraken itself. They often affect relatively low-level /foundational components in one of our application stacks or infrastructure. For example:

  • arbitrary code/command execution on a server in our production network.
  • arbitrary queries on a production database.
  • bypassing our sign-in process, either password or 2FA.
  • access to sensitive production user data or access to internal production systems.

 

High

High severity issues allow an attacker to read or modify highly sensitive data that they are not authorized to access. They are generally more narrow in scope than critical issues, though they may still grant an attacker extensive access. For example:

  • XSS which bypasses CSP
  • Discovering sensitive user data in a publicly exposed resource
  • Gaining access to a non-critical, system to which an end user account should not have access

 

Medium

Medium severity issues allow an attacker to read or modify limited amounts of data that they are not authorized to access. They generally grant access to less sensitive information than high severity issues. For example:

  • Disclosing non-sensitive information from a production system to which the user should not have access
  • XSS that does not bypass CSP or does not execute sensitive actions in another user’s session
  • CSRF for low risk actions

 

Low

Low severity issues allow an attacker to access extremely limited amounts of data. They may violate an expectation for how something is intended to work, but it allows nearly no escalation of privilege or ability to trigger unintended behavior by an attacker. For example:

  • Triggering verbose or debug error pages without proof of exploitability or obtaining sensitive information.

 

Ineligibility

Reports in which we are not interested include:

  • Vulnerabilities on sites hosted by third parties (support.kraken.com, etc) unless they lead to a vulnerability on the main website. Vulnerabilities and bugs on the Kraken blog (blog.kraken.com)
  • Vulnerabilities contingent on physical attack, social engineering, spamming, DDOS attack, etc.
  • Vulnerabilities affecting outdated or unpatched browsers.
  • Vulnerabilities in third party applications that make use of Kraken's API.
  • Vulnerabilities that have not been responsibly investigated and reported.
  • Vulnerabilities already known to us, or already reported by someone else (reward goes to first reporter). Issues that aren't reproducible.
  • Vulnerabilities that require an improbable level of user interaction.
  • Vulnerabilities that require root/jailbreak on mobile.
  • Missing security headers without proof of exploitability.
  • TLS Cipher Suites offered.
  • Suggestions on best practices.
  • Software version disclosure.
  • Any report without an accompanying proof of concept exploit.
  • Issues that we can't reasonably be expected to do anything about.
  • The output from automated tools/scanners.
  • Issues without any security impact.

 

Non-security Issues

You can let us know about non-security issues at https://support.kraken.com.