Ottieni Bitcoin 
trovando bug di sicurezza

Fondato nel 2011, Kraken Digital Asset Exchange è uno dei più grandi e longevi exchange di bitcoin al mondo, con la più ampia selezione di asset digitali e valute nazionali. Con sede a San Francisco e uffici in tutto il mondo, la piattaforma di trading di Kraken è costantemente classificata come il migliore e più sicuro exchange di asset digitali dai media indipendenti. Affidato a centinaia di migliaia di trader, istituzioni e autorità, tra cui la Fidor Bank tedesca regolamentata dalla BaFin, Kraken è il primo exchange a mostrare i propri dati di mercato sul Bloomberg Terminal, a superare una verifica crittografica verificabile della prova delle riserve e il primo a offrire trading a pronti con margine. Tra gli investitori di Kraken figurano Blockchain Capital, Digital Currency Group, Hummingbird Ventures e Money Partners Group.

Kraken crede fermamente nel valore dei professionisti della sicurezza e degli sviluppatori che contribuiscono a mantenere sicuri i propri prodotti e utenti. Kraken ha istituito e incoraggia la divulgazione coordinata delle vulnerabilità (CVD) attraverso il nostro programma Bug Bounty. Il programma Bug Bounty serve alla missione di Kraken aiutando a proteggere i clienti del mercato delle valute digitali.

Kraken si impegna a non avviare azioni legali per le ricerche sulla sicurezza effettuate seguendo tutte le politiche di Kraken Bug Bounty pubblicate, comprese le violazioni accidentali e in buona fede. Ti invitiamo a evitare violazioni intenzionali della privacy creando account di prova quando possibile. Se dovessi trovare informazioni di identificazione personale o altri dati sensibili per account che non hai il consenso scritto del proprietario dell'account da utilizzare per convalidare le tue scoperte, interrompi immediatamente l'accesso a tali dati e segnala il problema a Kraken con una descrizione dei dati, non dei dati stessi. Ti invitiamo a non archiviare o trasmettere i dati di altri utenti e a distruggere tutte le copie di dati non tuoi che hai catturato accidentalmente o deliberatamente nel corso delle tue ricerche. Se stai segnalando una violazione dei dati o l'ubicazione di un archivio di dati invece di una vulnerabilità di sicurezza, ti preghiamo di fornire l'ubicazione dei dati e di non accedervi ulteriormente, né di condividere l'ubicazione dei dati con altri.

Riteniamo che le attività condotte in conformità a questa politica costituiscano una condotta "autorizzata" ai sensi del Computer Fraud and Abuse Act (CFAA), del Digital Millennium Copyright Act (DMCA) e delle leggi anti-hacking applicabili come il Cal. Penal Code 503(c). Non intenteremo una causa contro i ricercatori per aver aggirato le misure tecnologiche che abbiamo utilizzato per proteggere le applicazioni che rientrano nell'ambito del Bug Bounty Program. Tuttavia, seguire questa politica non significa che Kraken o qualsiasi altra organizzazione o governo possa garantire l'immunità dalle leggi globali. È responsabilità dei singoli ricercatori di sicurezza comprendere e rispettare tutte le leggi locali e internazionali applicabili in materia di anti-hacking, dati e privacy e controlli sulle esportazioni. Se una terza parte dovesse intentare un'azione legale contro di te e tu stessi rispettando i termini di questa politica, Kraken informerà le forze dell'ordine o le parti civili competenti che le tue attività di ricerca sono state condotte, per quanto a nostra conoscenza, in conformità e nel rispetto dei termini e delle condizioni di questo programma. 

È necessario che ogni ricercatore ci invii una notifica prima di intraprendere una condotta che potrebbe essere in contrasto con questa politica o che non è stata presa in considerazione. Siamo lieti di ricevere suggerimenti per chiarire la politica in modo da aiutare i ricercatori a condurre le loro ricerche e le loro relazioni con fiducia.

Tutte le segnalazioni inviate vengono valutate da Kraken e pagate in base alla valutazione della vulnerabilità. Tutti i pagamenti saranno effettuati in BTC e sono definiti come linee guida e soggetti a modifiche.

• Tutte le segnalazioni di bug devono essere inviate a [email protected]
• Per ricevere i pagamenti del programma Bug Bounty, devi registrarti al livello Intermediate e fornire la documentazione per la verifica. Vedi anche: https://support.kraken.com/hc/en-us/articles/360000672203-Document-requirements-for-verification
• La richiesta di pagamento in cambio di dettagli sulla vulnerabilità comporterà l'immediata inammissibilità del pagamento della ricompensa. 
• Se non siamo in grado di riprodurre le tue segnalazioni, non potremo pagarle. Ti chiediamo di fornire una segnalazione il più dettagliata possibile con tutti i passaggi necessari per riprodurla.
• Includi il tuo indirizzo Bitcoin (BTC) per il pagamento. Tutte le ricompense saranno emesse in Bitcoin.
• I pagamenti minimi sono definiti di seguito. Tutti i pagamenti possono essere modificati a discrezione di Kraken.
• Il pagamento minimo è l'equivalente in Bitcoin (BTC)  di 500 dollari USA.

Aggiornamento sulle ricompense:

A partire dal 1° giugno 2022, tutti i ricercatori devono creare e disporre di un account di Kraken ATTIVO e verificato al livello Intermediate per facilitare il pagamento delle ricompense. 

Livelli di verifica: https://support.kraken.com/hc/en-us/articles/360001395743-Verification-levels-explained

Crea un account: https://www.kraken.com/sign-up

• 84 segnalazioni premiate nell'ultimo anno
• 1.127 segnalazioni presentate nell'ultimo anno
• Pagamento medio di $998 nell'ultimo anno

Di seguito sono elencati alcuni dei ricercatori che sono stati premiati in passato attraverso il programma Bug Bounty di Kraken.

Gravità critica

I problemi di gravità critica rappresentano un rischio diretto e immediato per una vasta gamma di utenti o per Kraken stessa. Spesso riguardano componenti di livello relativamente basso/fondamentale in uno dei nostri stack di applicazioni o infrastrutture. Ad esempio:

• Esecuzione di codice/comandi arbitrari su un server del nostro network di produzione.
• Query arbitrarie su un database di produzione.
• Bypassare il nostro processo di accesso, sia con password che con 2FA.
• Accesso ai dati sensibili degli utenti di produzione o accesso ai sistemi di produzione interni.

Gravità elevata

I problemi di gravità elevata consentono a un aggressore di leggere o modificare dati altamente sensibili a cui non è autorizzato ad accedere. In genere hanno un ambito di applicazione più ristretto rispetto ai problemi critici, anche se possono comunque garantire a un aggressore un accesso esteso. Ad esempio:

• XSS che aggira il CSP
• Scoprire dati sensibili dell'utente in una risorsa esposta pubblicamente.
• Ottenere l'accesso a un sistema non critico a cui un account utente finale non dovrebbe avere accesso.

Gravità media

I problemi di media gravità consentono a un aggressore di leggere o modificare quantità limitate di dati a cui non è autorizzato ad accedere. In genere consentono l'accesso a informazioni meno sensibili rispetto ai problemi di gravità elevata. Ad esempio:

• Divulgazione di informazioni non sensibili da un sistema di produzione a cui l'utente non dovrebbe avere accesso
• XSS che non bypassa il CSP o non esegue azioni sensibili nella sessione di un altro utente
• CSRF per azioni a basso rischio

Gravità bassa

I problemi di bassa gravità consentono a un aggressore di accedere a quantità estremamente limitate di dati. Possono violare un'aspettativa di funzionamento, ma non consentono quasi nessuna escalation di privilegi o la possibilità di innescare comportamenti indesiderati da parte di un aggressore. Ad esempio:

• L'attivazione di pagine di errore verbose o di debug senza la prova della sfruttabilità o dell'ottenimento di informazioni sensibili.

Inammissibilità

Le segnalazioni a cui non siamo interessati includono:

• Vulnerabilità su siti ospitati da terze parti (support.kraken.com, ecc.) a meno che non portino a una vulnerabilità sul sito principale. Vulnerabilità e bug sul blog di Kraken (blog.kraken.com)
• Vulnerabilità legate ad attacchi fisici, social engineering, spamming, attacchi DDOS, ecc.
• Vulnerabilità che riguardano i browser obsoleti o senza patch.
• Vulnerabilità nelle applicazioni di terze parti che utilizzano le API di Kraken.
• Vulnerabilità divulgate pubblicamente in librerie o tecnologie di terze parti utilizzate nei prodotti, nei servizi o nell'infrastruttura di Kraken prima di 30 giorni dalla divulgazione pubblica del problema.
• Vulnerabilità che sono state rese pubbliche prima che Kraken rilasciasse una correzione completa.
• Vulnerabilità già note a noi o già segnalate da altri (la ricompensa va al primo segnalatore). Problemi che non sono riproducibili.
• Vulnerabilità che richiedono un livello improbabile di interazione con l'utente.
• Vulnerabilità che richiedono root/jailbreak su mobile.
• Intestazioni di sicurezza mancanti senza prove di sfruttabilità.
• Suite di cifratura TLS offerte.
• Suggerimenti sulle migliori pratiche.
• Divulgazione della versione del software.
• Qualsiasi segnalazione senza una prova di exploit accompagnata.
• Problemi per i quali non possiamo ragionevolmente intervenire, come ad esempio problemi nelle specifiche tecniche che Kraken deve implementare per conformarsi a tali standard.
• I risultati di strumenti/scanner automatizzati.
• Problemi che non hanno impatto sulla sicurezza.

Problemi non legati alla sicurezza

Puoi segnalare i problemi non legati alla sicurezza qui: https://support.kraken.com.