Bug Bounty
Anche se il nostro team di esperti ha fatto ogni possibile sforzo per eliminare tutti i bug nei nostri sistemi, c'è sempre la possibilità che ce ne sia mancato uno che presenta una vulnerabilità significativa. Se scopri un bug, apprezziamo la tua collaborazione nell'indagare e riferircelo responsabilmente in modo che possiamo affrontarlo il prima possibile. Per bug significativi, offriamo ricompensa e riconoscimento sul nostro Wall of Fame (sotto).
Investigazione responsabile e segnalazione
Le indagini e le segnalazioni responsabili includono, a titolo esemplificativo ma non esaustivo, le seguenti:
- Non violare la privacy di altri utenti, distruggere dati, interrompere i nostri servizi, ecc.
- Intaccare solo i propri account nel processo di investigazione del bug. Non mirare, tentare di accedere o altrimenti interrompere gli account di altri utenti.
- Non prendere di mira le nostre misure di sicurezza fisica, né tentare di utilizzare ingegneria sociale, spam, attacchi DDOS (distributed denial of service), ecc.
- Inizialmente segnala il bug solo a noi e non ad altri.
- Dacci una ragionevole quantità di tempo per correggere il bug prima di rivelarlo a chiunque altro e dacci un avvertimento scritto adeguato prima di rivelarlo a chiunque altro.
In generale, si prega di indagare e segnalare bug in modo tale da fare un ragionevole sforzo in buona fede di non essere dirompenti o dannosi per noi o per i nostri utenti. Altrimenti le tue azioni potrebbero essere interpretate come un attacco piuttosto che uno sforzo per essere d'aiuto.
Eleggibilità
In generale, qualsiasi bug che pone una vulnerabilità significativa, sia per la sicurezza del nostro sito o l'integrità del nostro sistema di trading, potrebbe beneficiare di una ricompensa. Ma è interamente a nostra discrezione decidere se un bug è abbastanza significativo da essere idoneo per la ricompensa.
I problemi di sicurezza che tipicamente sono eleggibili per una ricompensa (anche se non in tutti i casi) includono:
- Cross-Site Request Forgery (CSRF)
- Cross-Site Scripting (XSS)
- Code Injection
- Remote Code Execution
- Privilege Escalation
- Authentication Bypass
- Clickjacking
- Perdita di dati sensibili
Ineleggibilità
Problemi che non sono riconosciuti come ricompensabili sono:
- Vunlerabilità di siti hostati da terze parti (support.kraken.com, etc) a meno che non inducano vulnerabilità sul nostro sito principale.
- Vulnerabilità e bug del blog Kraken (blog.kraken.com)
- Vulnerabilità rispetto ad attacchi fisici, social engineering, spamming, DDOS attack, ecc.
- Vulnerabilità relative a browsers unpatched o non aggiornati.
- Vulnerabilità in applicazioni di terze parti che fanno uso dell'API Kraken.
- Bug che non sono stati responsabilmente indagati o riportati.
- Bug a noi già noti o già riportati da altri (il premio va a chi per primo fa la segnalazione).
- Problemi che non sono riproducibili.
- Problemi che non siamo ragionevolmente tenuti a risolvere.
Premio
- Il premio minimo per un bug eleggibile è l'equivalente di 100$ in Bitcoin.
- I premi sopra il minimo vengono decisi a nostra discrezione, ma siamo disposti a premiare significativamente per segnalazioni riguardo a problemi gravi.
- Emettiamo solo un riconoscimento per ogni bug.
Come segnalare un Bug
- Invia il tuo report a bugbounty@kraken.com.
- Cerca di includere il maggior numero di informazioni che puoi, inclusa la descrizione del bug, il suo impatto potenziale, e gli step da seguire per permetterci di riprodurlo.
- Includi il tuo nome e il tuo link come vuoi che appaiano sulla nostra Wall of Fame (opzionale).
- Includi il tuo address BTC per il pagamento del premio.
- Per favore concedici almeno 2 giorni lavorativi per rispondere.