Kraken

Bug Bounty

Gagnez du Bitcoin
lorsque vous trouvez des bugs de sécurité

À propos

Fondé en 2011, Kraken Digital Asset Exchange est l’une des plus grandes et plus anciennes plateformes d’échange de Bitcoins au monde, avec la plus grande sélection d’actifs numériques et de devises nationales. Basée à San Francisco et dotée de bureaux dans le monde entier, la plateforme d’échange de Kraken est systématiquement classée comme la meilleure et la plus sûre des plateformes de trading d’actifs numériques par les médias indépendants. Plébiscité par des centaines de milliers de traders, d’institutions et d’autorités, y compris la banque Fidor réglementée par BaFin en Allemagne, Kraken est la première plateforme d’échange à afficher ses données de marché sur le terminal Bloomberg, à avoir fait l’objet d’un audit de preuve de réserves de fonds vérifiable sur le plan cryptographique et à permettre le trading spot avec marge. Les investisseurs dans Kraken comprennent Blockchain Capital, Digital Currency Group, Hummingbird Ventures et Money Partners Group.

Politique

Kraken attache beaucoup d’importance aux professionnels de la sécurité et aux développeurs qui aident à assurer la sécurité de nos produits et nos utilisateurs. Kraken a mis en place et encourage la divulgation coordonnée des vulnérabilités (CVD) via notre programme Bug Bounty. Le programme Bug Bounty sert la mission de Kraken en aidant à protéger les clients sur le marché des devises numériques.

Kraken accepte de ne pas engager de poursuites judiciaires en relation avec les recherches de sécurité effectuées en vertu de toutes les politiques Bug Bounty de Kraken, y compris les violations accidentelles et de bonne foi. Veuillez éviter les violations délibérées de la confidentialité en créant des comptes test chaque fois que cela est possible. Si vous rencontrez des informations personnelles identifiables ou d’autres données sensibles pour des comptes que leurs titulaires ne vous autorisent pas expressément, par écrit, à utiliser pour valider vos conclusions, veuillez cesser immédiatement d’accéder à ces données et signaler le problème à Kraken avec une description des données, et non les données elles-mêmes. Veuillez ne pas stocker ni transmettre les données d’autres utilisateurs et veuillez détruire toutes les copies de données qui ne sont pas les vôtres et auxquelles vous avez accédé accidentellement ou délibérément au cours de votre recherche. Si vous signalez une violation de données ou l’emplacement d’un référentiel de données au lieu d’une vulnérabilité liée à la sécurité, veuillez indiquer l’emplacement des données et ne plus y accéder, ni partager leur emplacement avec d’autres personnes.

Nous estimons que les activités menées conformément à cette politique constituent un comportement "autorisé" en vertu de la loi CFAA (Computer Fraud and Abuse Act), de la loi DMCA (Digital Millennium Copyright Act) et des lois anti-piratage en vigueur telles que le Cal. Code Penal 503(c). Nous ne poursuivrons pas en justice les chercheurs qui auront contourné les mesures technologiques que nous avons utilisées pour protéger les applications incluses dans le programme Bug Bounty. Cependant, le respect de cette politique ne signifie pas que Kraken, ni aucune autre organisation ou tout autre gouvernement individuel, peut accorder l’immunité face aux lois internationales. Il relève de la responsabilité des chercheurs en sécurité individuels de comprendre et de respecter toutes les lois locales et internationales applicables en matière de lutte contre le piratage, de protection des données et de la vie privée et de contrôle des exportations. Si un tiers intente une action en justice contre vous et que vous avez respecté les conditions de la présente politique, Kraken informera les autorités compétentes ou les plaignants civils que vos activités de recherche étaient, à notre connaissance, menées conformément aux, et selon les Conditions d’utilisation de ce programme.

Chaque chercheur est tenu de nous faire parvenir une notification avant de s’engager dans une conduite qui pourrait être incompatible avec ou non traitée par la présente politique. Nous apprécions les suggestions de clarification des politiques qui aident les chercheurs à mener leurs recherches et à établir leurs rapports en toute confiance.

Récompenses

Toutes les soumissions de primes sont notées par Kraken et payées en fonction de la note de vulnérabilité. Tous les paiements seront effectués en BTC et sont définis en tant que directive et peuvent faire l’objet de modifications.

  • Tous les rapports sur les bugs doivent être envoyés à [email protected]
  • Pour recevoir des paiements de Bug Bounty, vous devez vous inscrire au niveau Intermédiaire et fournir des documents pour vérification. Voir aussi: https://support.kraken.com/hc/en-us/articles/360000672203-Document-requirements-for-verification
  • La demande de paiement en échange de détails sur la vulnérabilité entraînera l’inéligibilité immédiate des paiements de primes.
  • Si nous ne pouvons pas reproduire vos résultats, votre rapport ne pourra pas être rémunéré. Nous vous demandons de fournir un rapport aussi détaillé que possible avec toutes les étapes nécessaires pour reproduire vos résultats.
  • Indiquez votre adresse Bitcoin (BTC) pour paiement. Toutes les récompenses seront attribuées en Bitcoin.
  • Les paiements minimums sont définis ci-dessous. Tous les paiements peuvent être modifiés à la discrétion de Kraken.
  • Le versement minimum est l’équivalent de 500 USD en Bitcoin (BTC).
Échelle de rémunérationÉchelle degravité
 Gravité faible500 $ - 1000 $
 Gravité moyenne2000 $ - 3000 $
 Gravité élevée10 000 $ - 20 000 $
 Gravité critique100 000$

Mise à jour sur les récompenses:

à compter du 1er juin 2022, tous les chercheurs doivent créer et disposer d’un compte Kraken ACTIF qui est vérifié au niveau intermédiaire pour faciliter tous les versements de récompenses.

Niveaux de vérification: https://support.kraken.com/hc/en-us/articles/360001395743-Verification-levels-explained

Créer un compte: https://www.kraken.com/sign-up

Les biens suivants sont compatibles avec les récompenses de Bug Bounty

Toutes les récompenses seront attribuées en Bitcoin

URLNom du bien
www.kraken.comSite Internet principal
api.kraken.comREST API
  • ws.kraken.com
  • ws-auth.kraken.com
API WebSocket
futures.kraken.comSite de Kraken Futures
futures.kraken.com/derivatives/api/v3REST API Kraken Futures
trade.kraken.comSite Kraken Pro
www.cryptowat.chSite principal de Cryptowatch
api.cryptowat.chREST API Cryptowatch
stream.cryptowat.chAPI WebSockets Cryptowatch
www.cryptofacilities.comSite Internet de Crypto Facilities
www.cryptofacilities.co.ukSite Internet de Cryptofacilities Royaume-Uni
www.cfbenchmarks.comSite Internet de Cfbenchmarks
www.staked.usSite Internet de Staked
cryptowat.ch/apps/desktopCryptowatch Desktop
Cryptowatch Mobile Application
Application Kraken Mobile
Application Kraken Pro Mobile
Actifs détenus par KrakenTout hôte dont la propriété et la maintenance ont été vérifiées par Kraken

Statistiques du programme

  • 84 rapports récompensés l’année dernière
  • 1127 rapports soumis au cours de l’année passée
  • 998 $ versement moyen au cours de l’année passée

Mur de la renommée

Vous trouverez ci-dessous quelques-uns des chercheurs qui ont déjà été récompensés par le programme Bug Bounty de Kraken.

Mur de la renomméeChercheurMontant de la récompense
IntronisésDevendra Hyalij45 100$
 UGWST - Twitter$30,000
 Redacted*$20.000
 Md Al Nafis Aqil Haque$11,000
 Redacted*$10,000
 Sunil Yeda - Twitter9 500$
 Md Al Nafis Aqil Haque8 500$
 Ranjeet Kumar Singh - Twitter, LinkedIn6 000$
 Rédigé*3 800$
 Gal Nagli - Twitter, LinkedIn3 500$
 
*Le nom des chercheurs n’est pas divulgué à leur demande		 
Ces informations sont mises à jour tous les trimestres.

Notes de vulnérabilité

Critique

Les problèmes de gravité critique présentent un risque direct et immédiat pour un grand nombre de nos utilisateurs ou pour Kraken elle-même. Ils affectent souvent des composants de base/de niveau relativement bas dans l’un de nos groupes d’applications ou dans notre infrastructure. Par exemple:

  • exécution d’un code/d’une commande arbitraire sur un serveur de notre réseau de production.
  • requêtes arbitraires sur une base de données de production.
  • contournement de notre processus de connexion, soit par mot de passe, soit par authentification à deux facteurs.
  • accès aux données sensibles des utilisateurs de production ou accès aux systèmes de production internes.

 

Élevée

Les problèmes de gravité élevée permettent à une personne mal intentionnée de lire ou de modifier des données hautement sensibles auxquelles elle n’est pas autorisée à accéder. Ils sont généralement plus restreints que les problèmes critiques, même s’ils peuvent faire bénéficier une personne mal intentionnée d’un accès étendu. Par exemple:

  • XSS qui contourne CSP
  • Découverte de données utilisateur sensibles dans une ressource avec exposition publique
  • Accès à un système non critique auquel un compte d’utilisateur final ne devrait pas avoir accès

 

Moyenne

Les problèmes de gravité moyenne permettent à une personne mal intentionnée de lire ou de modifier un volume limité de données auxquelles elle n’est pas autorisée à accéder. Ils donnent généralement accès à des informations moins sensibles que les problèmes de gravité élevée. Par exemple:

  • La divulgation d’informations non sensibles à partir d’un système de production auquel l’utilisateur ne devrait pas avoir accès
  • XSS qui ne contourne pas CSP ou n’exécute pas d’actions sensibles dans la session d’un autre utilisateur
  • CSRF pour les actions à risque faible

 

Faible

Les problèmes de faible gravité permettent à une personne mal intentionnée d’accéder à des volumes extrêmement limités de données. Ils peuvent enfreindre une attente quant à la façon dont quelque chose est censé fonctionner, mais ne permettent pratiquement pas d’escalade des privilèges ou de capacité à déclencher un comportement indésirable par une personne mal intentionnée. Par exemple:

  • apparition de pages d’erreur détaillées ou de debug sans preuve d’exploitabilité ou obtention d’informations sensibles.

 

Inéligibilité

Les rapports qui ne nous intéressent pas comprennent:

  • Vulnérabilités sur les sites hébergés par des tiers (support.kraken.com, etc.), à moins qu’elles n’entraînent une vulnérabilité sur le site Internet principal. Vulnérabilités et bugs sur le blog de Kraken (blog.kraken.com)
  • Vulnérabilités dépendant d’attaques physiques, d’ingénierie sociale, de spamming, d’attaques DDOS, etc.
  • Vulnérabilités affectant des navigateurs obsolètes ou non corrigés.
  • Vulnérabilités dans les applications tierces qui utilisent l’API de Kraken.
  • Vulnérabilités divulguées publiquement dans des bibliothèques tierces ou la technologie utilisée dans les produits, services ou infrastructures Kraken moins de 30 ours après la divulgation publique du problème
  • Vulnérabilités qui ont été rendues publiques avant que Kraken ne publie un correctif détaillé.
  • Vulnérabilités déjà connues de nous ou déjà signalées par autrui (la récompense va au premier déclarant). Problèmes qui ne sont pas reproductibles.
  • Vulnérabilités nécessitant un niveau improbable d’interaction avec l’utilisateur.
  • Vulnérabilités nécessitant un root/jailbreak sur mobile.
  • En-têtes de sécurité manquants sans preuve d’exploitabilité.
  • Suites TLS Cipher proposées.
  • Suggestions quant aux meilleures pratiques.
  • Affichage de la version du logiciel.
  • Tout rapport sans preuve d’exploitation du concept joint.
  • Problème que nous ne pouvons pas raisonnablement être tenus de résoudre, tels que les problèmes liés aux spécifications techniques que Kraken doit mettre en œuvre pour se conformer à ces normes.
  • Le résultat des outils/scanners automatisés.
  • Problèmes sans aucun impact sur la sécurité.

 

Problèmes non liés à la sécurité

Vous pouvez nous faire part des problèmes non liés à la sécurité à l’adresse https://support.kraken.com.