Kraken

Bug Bounty

Ottieni Bitcoin 
scoprendo i nostri bug

Bug Bounty

Anche se il nostro team di esperti ha fatto ogni possibile sforzo per eliminare tutti i bug nei nostri sistemi, c'è sempre la possibilità che ce ne sia mancato uno che presenta una vulnerabilità significativa. Se scopri un bug, apprezziamo la tua collaborazione nell'indagare e riferircelo responsabilmente in modo che possiamo affrontarlo il prima possibile. Per bug significativi, offriamo ricompensa e riconoscimento sul nostro Wall of Fame (sotto).

 

Investigazione responsabile e segnalazione 

Le indagini e le segnalazioni responsabili includono, a titolo esemplificativo ma non esaustivo, le seguenti:

  • Non violare la privacy di altri utenti, distruggere dati, interrompere i nostri servizi, ecc.
  • Intaccare solo i propri account nel processo di investigazione del bug. Non mirare, tentare di accedere o altrimenti interrompere gli account di altri utenti.
  • Non prendere di mira le nostre misure di sicurezza fisica, né tentare di utilizzare ingegneria sociale, spam, attacchi DDOS (distributed denial of service), ecc.
  • Inizialmente segnala il bug solo a noi e non ad altri.
  • Dacci una ragionevole quantità di tempo per correggere il bug prima di rivelarlo a chiunque altro e dacci un avvertimento scritto adeguato prima di rivelarlo a chiunque altro.

In generale, si prega di indagare e segnalare bug in modo tale da fare un ragionevole sforzo in buona fede di non essere dirompenti o dannosi per noi o per i nostri utenti. Altrimenti le tue azioni potrebbero essere interpretate come un attacco piuttosto che uno sforzo per essere d'aiuto.

 

Eleggibilità

In generale, qualsiasi bug che pone una vulnerabilità significativa, sia per la sicurezza del nostro sito o l'integrità del nostro sistema di trading, potrebbe beneficiare di una ricompensa. Ma è interamente a nostra discrezione decidere se un bug è abbastanza significativo da essere idoneo per la ricompensa.

I problemi di sicurezza che tipicamente sono eleggibili per una ricompensa (anche se non in tutti i casi) includono:

  • Cross-Site Request Forgery (CSRF)
  • Cross-Site Scripting (XSS)
  • Code Injection
  • Remote Code Execution
  • Privilege Escalation
  • Authentication Bypass
  • Clickjacking
  • Perdita di dati sensibili

 

Ineleggibilità

Problemi che non sono riconosciuti come ricompensabili sono:

  • Vunlerabilità di siti hostati da terze parti (support.kraken.com, etc) a meno che non inducano vulnerabilità sul nostro sito principale.
  • Vulnerabilità e bug del blog Kraken (blog.kraken.com)
  • Vulnerabilità rispetto ad attacchi fisici, social engineering, spamming, DDOS attack, ecc.
  • Vulnerabilità relative a browsers unpatched o non aggiornati.
  • Vulnerabilità in applicazioni di terze parti che fanno uso dell'API Kraken.
  • Bug che non  sono stati responsabilmente indagati o riportati.
  • Bug a noi già noti o già riportati da altri (il premio va a chi per primo fa la segnalazione).
  • Problemi che non sono riproducibili.
  • Problemi che non siamo ragionevolmente tenuti a risolvere.

 

Premio

  • Il premio minimo per un bug eleggibile è l'equivalente di 100$ in Bitcoin.
  • I premi sopra il minimo vengono decisi a nostra discrezione, ma siamo disposti a premiare significativamente per segnalazioni riguardo a problemi gravi.
  • Emettiamo solo un riconoscimento per ogni bug.

 

Come segnalare un Bug

  • Invia il tuo report a bugbounty@kraken.com.
  • Cerca di includere il maggior numero di informazioni che puoi, inclusa la descrizione del bug, il suo impatto potenziale, e gli step da seguire per permetterci di riprodurlo.
  • Includi il tuo nome e il tuo link come vuoi che appaiano sulla nostra Wall of Fame (opzionale).
  • Includi il tuo address BTC per il pagamento del premio.
  • Per favore concedici almeno 2 giorni lavorativi per rispondere.

 

Wall of Fame

Tutte le persone elencate di seguito hanno contribuito al programma

Rewards

All bounty submissions are rated by Kraken and paid out based on vulnerability rating. All payouts will proceed in BTC and are defined as a guideline and subject to change.

  • All bug reports must be submitted to bugbounty@kraken.com
  • To receive bug bounty payments, you must register at the Intermediate level and provide documentation for verification. See also: https://support.kraken.com/hc/en-us/articles/360000672203-Document-requirements-for-verification
  • Asking for payment in exchange for vulnerability details will result in immediate ineligibility of bounty payments. 
  • If we cannot reproduce your findings, your report will not be eligible for payout. We ask you to provide as detailed a report as possible with all steps necessary to reproduce your findings. 
  • Include your Bitcoin (BTC) Address for Payment. All rewards will be issued in Bitcoin.
  • Payment minimums are defined below. All payments may be modified at Kraken's discretion.
  • The minimum payout is Bitcoin (BTC)  equivalent of $500 USD.
Payout ScaleSeverityRange
 Low Severity$500-$1000
 Medium Severity$2000-$3000
 High Severity$10,000-$20,000
 Critical Severity$100,000+

Rewards Update:

Effective June 1, 2022 all researchers must create and have an ACTIVE Kraken account that is verified at the intermediate level to facilitate all reward payouts. 

Verification Levels: https://support.kraken.com/hc/en-us/articles/360001395743-Verification-levels-explained

Create an Account: https://www.kraken.com/sign-up

The following properties are in scope for bug bounty rewards

All rewards will be issued in Bitcoin

URLProperty Name
www.kraken.comMain Website
api.kraken.comREST API
  • ws.kraken.com
  • ws-auth.kraken.com
WebSockets API
futures.kraken.comKraken Futures Site
futures.kraken.com/derivatives/api/v3Kraken Futures REST API
trade.kraken.comKraken Pro Site
www.cryptowat.chCryptowatch Main Site
api.cryptowat.chCryptowatch REST API
stream.cryptowat.chCryptowatch WebSockets API
www.cryptofacilities.comCrypto Facilities Website
www.cryptofacilities.co.ukCryptofacilities UK Website
www.cfbenchmarks.comCfbenchmarks Website
www.staked.usStaked Website
Kraken Mobile Application
Kraken Pro Mobile Application
Kraken-owned assetsAny host verified to be owned and maintained by Kraken

Program Statistics

  • 84 reports rewarded in the last year
  • 1127 reports submitted in the last year
  • $998 average payout in the last year

Wall of Fame

See below some of the researchers who have been previously rewarded through Kraken's Bug Bounty program.

Wall of FameResearcherAmount Rewarded
InducteesDevendra Hyalij$8,600
 Sunil Yeda - Twitter$6,400
 Deepak Dhiman - Twitter$7,800
 Gal Nagli - Twitter, LinkedIn$3,500
 Ranjeet Kumar Singh - Twitter, LinkedIn$6,000
 Md Al Nafis Aqil Haque$5,000
 Redacted*$3,800
 
*Researchers name withheld at their request		 
This information is updated quarterly.

Vulnerability Ratings

Critical

Critical severity issues present a direct and immediate risk to a broad array of our users or to Kraken itself. They often affect relatively low-level /foundational components in one of our application stacks or infrastructure. For example:

  • arbitrary code/command execution on a server in our production network.
  • arbitrary queries on a production database.
  • bypassing our sign-in process, either password or 2FA.
  • access to sensitive production user data or access to internal production systems.

 

High

High severity issues allow an attacker to read or modify highly sensitive data that they are not authorized to access. They are generally more narrow in scope than critical issues, though they may still grant an attacker extensive access. For example:

  • XSS which bypasses CSP
  • Discovering sensitive user data in a publicly exposed resource
  • Gaining access to a non-critical, system to which an end user account should not have access

 

Medium

Medium severity issues allow an attacker to read or modify limited amounts of data that they are not authorized to access. They generally grant access to less sensitive information than high severity issues. For example:

  • Disclosing non-sensitive information from a production system to which the user should not have access
  • XSS that does not bypass CSP or does not execute sensitive actions in another user’s session
  • CSRF for low risk actions

 

Low

Low severity issues allow an attacker to access extremely limited amounts of data. They may violate an expectation for how something is intended to work, but it allows nearly no escalation of privilege or ability to trigger unintended behavior by an attacker. For example:

  • Triggering verbose or debug error pages without proof of exploitability or obtaining sensitive information.

 

Ineligibility

Reports in which we are not interested include:

  • Vulnerabilities on sites hosted by third parties (support.kraken.com, etc) unless they lead to a vulnerability on the main website. Vulnerabilities and bugs on the Kraken blog (blog.kraken.com)
  • Vulnerabilities contingent on physical attack, social engineering, spamming, DDOS attack, etc.
  • Vulnerabilities affecting outdated or unpatched browsers.
  • Vulnerabilities in third party applications that make use of Kraken's API.
  • Vulnerabilities publicly disclosed in third party libraries or technology used in Kraken products, services, or infrastructure earlier than 30 days after the public disclosure of the issue
  • Vulnerabilities that have been released publicly prior to Kraken issuing a comprehensive fix.
  • Vulnerabilities already known to us, or already reported by someone else (reward goes to first reporter). Issues that aren't reproducible.
  • Vulnerabilities that require an improbable level of user interaction.
  • Vulnerabilities that require root/jailbreak on mobile.
  • Missing security headers without proof of exploitability.
  • TLS Cipher Suites offered.
  • Suggestions on best practices.
  • Software version disclosure.
  • Any report without an accompanying proof of concept exploit.
  • Issues that we can't reasonably be expected to do anything about, such as issues in technical specifications that Kraken must implement to conform to those standards.
  • The output from automated tools/scanners.
  • Issues without any security impact.

 

Non-security Issues

You can let us know about non-security issues at https://support.kraken.com.