Bug Bounty

Ottieni Bitcoin 
trovando bug di sicurezza

Bug Bounty

Ottieni Bitcoin 
trovando bug di sicurezza

Informazioni

Fondato nel 2011, Kraken Digital Asset Exchange è uno dei più grandi e longevi exchange di bitcoin al mondo, con la più ampia selezione di asset digitali e valute nazionali. Con sede a San Francisco e uffici in tutto il mondo, la piattaforma di trading di Kraken è costantemente classificata come il migliore e più sicuro exchange di asset digitali dai media indipendenti. Riconosciuto affidabile da centinaia di migliaia di trader, istituzioni e autorità, tra cui la Fidor Bank tedesca regolamentata dalla BaFin, Kraken è il primo exchange a mostrare i propri dati di mercato sul Bloomberg Terminal, a superare un audit Proof of Reserves verificabile crittograficamente e la prima piattaforma a consentire lo spot trading con margine. Tra gli investitori di Kraken figurano Blockchain Capital, Digital Currency Group, Hummingbird Ventures e Money Partners Group.

Politica

Kraken crede fermamente nel valore dei professionisti della sicurezza e degli sviluppatori che contribuiscono a mantenere sicuri i propri prodotti e utenti. Kraken ha istituito e incoraggia la divulgazione coordinata delle vulnerabilità (CVD) attraverso il nostro programma Bug Bounty. Il programma Bug Bounty serve alla missione di Kraken aiutando a proteggere i clienti del mercato delle valute digitali.

Kraken si impegna a non avviare azioni legali per le ricerche sulla sicurezza effettuate seguendo tutte le politiche di Kraken Bug Bounty pubblicate, comprese le violazioni accidentali e in buona fede. Ti invitiamo a evitare violazioni intenzionali della privacy creando account di prova quando possibile. Se dovessi entrare in possesso di informazioni di identificazione personale o altri dati sensibili relativi ad account che i rispettivi titolari non ti hanno esplicitamente autorizzato per iscritto a utilizzare per convalidare le tue scoperte, astieniti immediatamente dall'accedere a tali dati e segnala il problema a Kraken fornendo una descrizione dei dati in questione (non i dati stessi). Ti invitiamo a non memorizzare né trasferire i dati di altri utenti e a distruggere tutte le copie dei dati che non ti appartengono e che hai volutamente o accidentalmente acquisito durante le tue ricerche. Se stai segnalando una violazione dei dati o l'ubicazione di un archivio di dati invece di una vulnerabilità di sicurezza, ti preghiamo di fornire l'ubicazione dei dati e di non accedervi ulteriormente, né di condividere l'ubicazione dei dati con altri.

L'invio di un bug bounty non deve mai contenere minacce o tentativi di estorsione. Siamo disponibili a pagare dei premi per scoperte legittime, ma non daremo mai seguito a richieste di riscatto. Potremmo essere obbligati per legge a segnalare l'invio di eventuali bug bounty contenenti richieste di riscatto.

Riteniamo che le attività svolte in conformità a questa politica costituiscano una condotta “autorizzata” ai sensi del Computer Fraud and Abuse Act (CFAA), del Digital Millennium Copyright Act (DMCA) e delle leggi anti-hacking applicabili, come il Codice penale della California, Articolo 503(c). Non intenteremo una causa contro i ricercatori per aver aggirato le misure tecnologiche che abbiamo utilizzato per proteggere le applicazioni che rientrano nell'ambito del Bug Bounty Program. Tuttavia, seguire questa politica non significa che Kraken o qualsiasi altra organizzazione o governo possa garantire l'immunità dalle leggi globali. È responsabilità dei singoli ricercatori di sicurezza comprendere e rispettare tutte le leggi locali e internazionali applicabili in materia di anti-hacking, dati e privacy e controlli sulle esportazioni. Se una terza parte dovesse intentare un'azione legale contro di te e tu stessi rispettando i termini di questa politica, Kraken informerà le forze dell'ordine o le parti civili competenti che le tue attività di ricerca sono state condotte, per quanto a nostra conoscenza, in conformità e nel rispetto dei termini e delle condizioni di questo programma. 

È necessario che ogni ricercatore ci invii una notifica prima di intraprendere una condotta che potrebbe essere in contrasto con questa politica o che non è stata presa in considerazione. Siamo lieti di ricevere suggerimenti per chiarire la politica in modo da aiutare i ricercatori a condurre le loro ricerche e le loro relazioni con fiducia.

Ricompense

Tutte le segnalazioni inviate vengono valutate da Kraken e pagate in base alla valutazione della vulnerabilità. Tutti i pagamenti saranno effettuati in BTC e sono definiti come linee guida e soggetti a modifiche.

  • Tutte le segnalazioni di bug devono essere inviate a [email protected]
  • Per ricevere i pagamenti di bug bounty, devi:
  • La richiesta di pagamento in cambio di dettagli sulla vulnerabilità comporterà l'immediata inammissibilità del pagamento della ricompensa. 
  • Se non siamo in grado di riprodurre le tue segnalazioni, non potremo pagarle. Ti chiediamo di fornire una segnalazione il più dettagliata possibile con tutti i passaggi necessari per riprodurla.
  • Includi il tuo indirizzo Bitcoin (BTC) per il pagamento. Tutte le ricompense saranno emesse in Bitcoin.
  • I pagamenti minimi sono definiti di seguito. Tutti i pagamenti possono essere modificati a discrezione di Kraken.
  • Il pagamento minimo è l'equivalente in Bitcoin (BTC)  di 500 USD.
Scala di pagamentoGravitàIntervallo
 Gravità bassa500 - 1.000 $
 Gravità media2.500 - 5.000 $
 Gravità elevata20.000 - 50.000 $
 Gravità critica100.000 - 1.500.000 $

Statistiche del programma

  • 27 segnalazioni premiate nell'ultimo anno
  • 501 segnalazioni presentate nell'ultimo anno
  • 2.463 $ pagati in media nell’ultimo anno

Wall of Fame

Di seguito sono elencati alcuni dei ricercatori che sono stati premiati in passato attraverso il programma Bug Bounty di Kraken.

Wall of FameRicercatoreImporto ricompensato
InduttoriDevendra Hyalij - Twitter60.100 $
 UGWST - Twitter35.000 $
 Redatto*20.000 $
 Redatto*18.000 $
 Redatto*18.000 $
 Md Al Nafis Aqil Haque11.000 $
 Redatto*10.000 $
 Redatto*10.000 $
 Redatto*10.000 $
 
*Nome del ricercatore non pubblicato su richiesta
 
Queste informazioni vengono aggiornate a cadenza trimestrale.

Livelli di vulnerabilità

Gravità critica

I problemi di gravità critica rappresentano un rischio diretto e immediato per una vasta gamma di utenti o per Kraken stessa. Spesso riguardano componenti di livello relativamente basso/fondamentale in uno dei nostri stack di applicazioni o infrastrutture. Ad esempio:

  • Esecuzione di codice/comandi arbitrari su un server del nostro network di produzione.
  • Query arbitrarie su un database di produzione.
  • Bypassare il nostro processo di accesso, sia con password che con Autenticazione a Due Fattori.
  • Accesso ai dati sensibili degli utenti di produzione o accesso ai sistemi di produzione interni.

 

Massimo

I problemi di gravità elevata consentono a un aggressore di leggere o modificare dati altamente sensibili a cui non è autorizzato ad accedere. In genere hanno un ambito di applicazione più ristretto rispetto ai problemi critici, anche se possono comunque garantire a un aggressore un accesso esteso. Ad esempio:

  • XSS che aggira il CSP
  • Scoprire dati sensibili dell'utente in una risorsa esposta pubblicamente.
  • Ottenere l'accesso a un sistema non critico a cui un account utente finale non dovrebbe avere accesso.

 

Medio

I problemi di media gravità consentono a un aggressore di leggere o modificare quantità limitate di dati a cui non è autorizzato ad accedere. In genere consentono l'accesso a informazioni meno sensibili rispetto ai problemi di gravità elevata. Ad esempio:

  • Divulgazione di informazioni non sensibili da un sistema di produzione a cui l'utente non dovrebbe avere accesso
  • XSS che non bypassa il CSP o non esegue azioni sensibili nella sessione di un altro utente
  • CSRF per azioni a basso rischio

 

Minimo

I problemi di bassa gravità consentono a un aggressore di accedere a quantità estremamente limitate di dati. Possono violare un'aspettativa di funzionamento, ma non consentono quasi nessuna escalation di privilegi o la possibilità di innescare comportamenti indesiderati da parte di un aggressore. Ad esempio:

  • L'attivazione di pagine di errore verbose o di debug senza la prova della sfruttabilità o dell'ottenimento di informazioni sensibili.

 

Inammissibilità

Le segnalazioni a cui non siamo interessati includono:

  • Vulnerabilità su siti ospitati da terze parti (support.kraken.com, ecc.) a meno che non portino a una vulnerabilità sul sito principale. Vulnerabilità e bug sul blog di Kraken (blog.kraken.com)
  • Vulnerabilità legate ad attacchi fisici, social engineering, spamming, attacchi DDOS, ecc.
  • Vulnerabilità che riguardano i browser obsoleti o senza patch.
  • Vulnerabilità nelle applicazioni di terze parti che utilizzano le API di Kraken.
  • Vulnerabilità divulgate pubblicamente in librerie o tecnologie di terze parti utilizzate nei prodotti, nei servizi o nell'infrastruttura di Kraken prima di 30 giorni dalla divulgazione pubblica del problema.
  • Vulnerabilità che sono state rese pubbliche prima che Kraken rilasciasse una correzione completa.
  • Vulnerabilità già note a noi o già segnalate da altri (la ricompensa va al primo segnalatore). Problemi che non sono riproducibili.
  • Vulnerabilità che richiedono un livello improbabile di interazione con l'utente.
  • Vulnerabilità che richiedono root/jailbreak su mobile.
  • Intestazioni di sicurezza mancanti senza prove di sfruttabilità.
  • Suite di cifratura TLS offerte.
  • Suggerimenti sulle migliori pratiche.
  • Divulgazione della versione del software.
  • Qualsiasi segnalazione senza una prova di exploit accompagnata.
  • Problemi per i quali non possiamo ragionevolmente intervenire, come ad esempio problemi nelle specifiche tecniche che Kraken deve implementare per conformarsi a tali standard.
  • I risultati di strumenti/scanner automatizzati.
  • Problemi che non hanno impatto sulla sicurezza.

 

Problemi non legati alla sicurezza

Puoi segnalare i problemi non legati alla sicurezza qui: https://support.kraken.com.