Fondato nel 2011, Kraken Digital Asset Exchange è uno dei più grandi e longevi exchange di bitcoin al mondo, con la più ampia selezione di asset digitali e valute nazionali. Con sede a San Francisco e uffici in tutto il mondo, la piattaforma di trading di Kraken è costantemente classificata come il migliore e più sicuro exchange di asset digitali dai media indipendenti. Riconosciuto affidabile da centinaia di migliaia di trader, istituzioni e autorità, tra cui la Fidor Bank tedesca regolamentata dalla BaFin, Kraken è il primo exchange a mostrare i propri dati di mercato sul Bloomberg Terminal, a superare un audit Proof of Reserves verificabile crittograficamente e la prima piattaforma a consentire lo spot trading con margine. Tra gli investitori di Kraken figurano Blockchain Capital, Digital Currency Group, Hummingbird Ventures e Money Partners Group.

• Kraken incoraggia una divulgazione responsabile delle vulnerabilità della sicurezza tramite il programma Bug Bounty.
• I ricercatori devono seguire la politica scritta. Quest’ultima non è negoziabile.
• Regole principali:
  • Agisci in buona fede ed evita violazioni della politica.
  • Non fare più del necessario per dimostrare una vulnerabilità. 
  • Non lanciare minacce o avanzare richieste di riscatto.
  • Segnala le vulnerabilità, incluse le istruzioni e la prova di exploit, non appena le rilevi e convalidi.
• I ricercatori sono responsabili del rispetto di tutte le leggi applicabili.
• Qualsiasi tentativo di sovvertire o violare la nostra politica renderà immediatamente nulla l’idoneità a questo programma. Minacce o tentativi di estorsione possono essere denunciati alle forze dell’ordine.
• Se hai dei dubbi, scrivi a [email protected] per chiedere chiarimenti.

Kraken crede fermamente nel valore dei professionisti della sicurezza e degli sviluppatori che contribuiscono a mantenere sicuri i propri prodotti e utenti. Kraken ha istituito e incoraggia la divulgazione coordinata delle vulnerabilità (CVD) attraverso il nostro programma Bug Bounty. Il programma Bug Bounty serve alla missione di Kraken aiutando a proteggere i clienti del mercato delle valute digitali.

Cercando bug nei sistemi di Kraken, accetti di salvaguardare la riservatezza di tutti i dati, delle informazioni sulle vulnerabilità, delle ricerche effettuate e delle comunicazioni con Kraken finché Kraken non avrà risolto il problema e autorizzato la sua divulgazione. 

Laddove i requisiti della presente Politica siano rispettati, Kraken si impegna a non avviare azioni legali per le ricerche sulla sicurezza effettuate seguendo tutte le politiche di Kraken Bug Bounty pubblicate, comprese le violazioni accidentali e in buona fede. 

Ti invitiamo a evitare violazioni intenzionali della privacy creando account di prova quando possibile. Se dovessi entrare in possesso di informazioni di identificazione personale (“PII”) o di altri dati sensibili relativi ad account che i rispettivi titolari non ti hanno esplicitamente autorizzato per iscritto a utilizzare per convalidare le tue scoperte, astieniti immediatamente dall'accedere a tali dati e segnala il problema a Kraken fornendo una descrizione delle informazioni di identificazione personale in questione (non i dati stessi).

In conformità alle normative in materia di protezione dei dati e alle nostre politiche sulla privacy, hai l’obbligo di rispettare gli obblighi seguenti:

• Non memorizzare o divulgare le informazioni di identificazione personale di altri clienti. Se dovessi entrare in possesso delle informazioni di identificazione personale di un cliente, devi segnalarlo immediatamente a Kraken e distruggere tutte le copie di tali informazioni non di tua proprietà. 
• Ridurre al minimo la raccolta e l’accesso ai dati nello svolgimento della tua ricerca. Raccogli e conserva solo le informazioni assolutamente necessarie per dimostrare e segnalare la vulnerabilità. 
• Elimina immediatamente e in modo sicuro tutti i dati raccolti dopo aver inviato il report e non appena Kraken ne abbia confermato i ricevimento.
• Non divulgare a terzi alcuna vulnerabilità o informazione al riguardo senza l'esplicito consenso scritto di Kraken. Ciò comprende, a titolo esemplificativo ma non esaustivo, i social media, altre aziende o la stampa.
• Se stai segnalando una violazione dei dati o l'ubicazione di un archivio di dati invece di una vulnerabilità di sicurezza, ti invitiamo a indicare l'ubicazione dei dati senza accedervi ulteriormente né condividerla con altre persone.

L'invio di un bug bounty non deve mai contenere minacce o tentativi di estorsione. Siamo disponibili a pagare dei premi per scoperte legittime, ma non daremo mai seguito a richieste di riscatto. Ad esempio, il mancato rilascio di informazioni sulla vulnerabilità o eventuali intralci alla possibilità di risolvere la vulnerabilità fino a quando non saranno soddisfatte altre richieste saranno considerati una richiesta di riscatto. Potremmo essere obbligati per legge o decidere volontariamente di segnalare alle autorità competenti l'invio di eventuali bug bounty contenenti richieste di riscatto. 

Riteniamo che le attività svolte in conformità a questa politica costituiscano una condotta “autorizzata” ai sensi del Computer Fraud and Abuse Act (CFAA), del Digital Millennium Copyright Act (DMCA) e delle leggi anti-hacking applicabili, come il Codice penale della California, Articolo 503(c). Non intenteremo una causa contro i ricercatori per aver aggirato le misure tecnologiche che abbiamo utilizzato per proteggere le applicazioni che rientrano nell'ambito del Bug Bounty Program. Tuttavia, seguire questa politica non significa che Kraken o qualsiasi altra organizzazione o governo possa garantire l'immunità dalle leggi globali. È responsabilità dei singoli ricercatori di sicurezza comprendere e rispettare tutte le leggi locali e internazionali applicabili in materia di anti-hacking, dati e privacy e controlli sulle esportazioni. Se una terza parte dovesse intentare un'azione legale contro di te e tu stessi rispettando i termini di questa politica, Kraken informerà le forze dell'ordine o le parti civili competenti che le tue attività di ricerca sono state condotte, per quanto a nostra conoscenza, in conformità e nel rispetto dei termini e delle condizioni di questo programma.

È necessario che ogni ricercatore ci invii una notifica prima di intraprendere una condotta che potrebbe essere in contrasto con questa politica o che non è stata presa in considerazione. Siamo lieti di ricevere suggerimenti per chiarire la politica in modo da aiutare i ricercatori a condurre le loro ricerche ed effettuare segnalazioni con la massima fiducia.

Tutte le segnalazioni inviate vengono valutate da Kraken e pagate in base alla valutazione della vulnerabilità. Tutti i pagamenti, che verranno effettuati in BTC sul tuo account di Kraken verificato, sono forniti a titolo indicativo e soggetti a modifiche.

• Tutte le segnalazioni di bug devono essere inviate a[email protected], l’unico contatto ufficiale per questo programma. Non utilizzare siti esterni per inviare dettagli sulle vulnerabilità. Eventuali siti o portali esterni non sono ufficiali e non sono approvati da Kraken.
• Per ricevere i pagamenti di bug bounty, devi:
  • Registrarti al livello Intermediate. Vedi anche: Crea un account-https://www.kraken.com/sign-up
  • Avere un account ATTIVO.
  • Fornire la documentazione richiesta per la verifica. Vedi anche: https://support.kraken.com/hc/en-us/articles/360000672203-Document-requirements-for-verification
• La richiesta di pagamenti o di altri riconoscimenti in cambio di dettagli sulla vulnerabilità comporterà l'immediata inammissibilità dei pagamenti di bug bounty. Anche il mancato rilascio dei dettagli sulla vulnerabilità comporterà l’immediata inammissibilità dei pagamenti di bug bounty.
• Fornisci istruzioni dettagliate per riprodurre la vulnerabilità e una Proof of Concept. 
• Se non saremo in grado di riprodurre le tue segnalazioni, non potremo corrispondere alcun pagamento. Sfrutta solo ciò che è necessario per dimostrare una vulnerabilità di sicurezza e restituisci prontamente tutti gli asset estratti.
• È vietato divulgare le vulnerabilità a terzi.
• Qualsiasi tentativo di aggirare le procedure descritte in questa politica comporterà l'immediata inammissibilità dei pagamenti di bug bounty. 
• Includi il tuo indirizzo Bitcoin (BTC) per il pagamento. Tutte le ricompense saranno emesse in Bitcoin.
• I pagamenti minimi sono definiti di seguito. Tutti i pagamenti possono essere modificati a discrezione di Kraken.
• Il pagamento minimo è l'equivalente in Bitcoin (BTC) di 500 USD.

Per elaborare una richiesta Bug Bounty, la procedura è la seguente:

1. Il report viene inviato alla casella di posta di Bug Bounty

2. La funzione di sicurezza di Kraken recepisce la richiesta (SLA: 1 giorno lavorativo)

3. La funzione di sicurezza di Kraken sottopone la richiesta a triage (SLA: 10 giorni lavorativi)

4. La funzione di sicurezza di Kraken invia la risposta in cui determina se considera la segnalazione una vulnerabilità; la notifica include livello di gravità e importo della ricompensa (chiederemo un indirizzo BTC)

5. Per le vulnerabilità della sicurezza, Kraken invierà la ricompensa (SLA: 14 giorni lavorativi)

• 26 segnalazioni ricompensate nell'ultimo anno
• 434 segnalazioni presentate nell'ultimo anno
• 3.962 $ pagati in media nell'ultimo anno

Di seguito sono elencati alcuni dei ricercatori che sono stati premiati in passato attraverso il programma Bug Bounty di Kraken.

Gravità critica

I problemi di gravità critica rappresentano un rischio diretto e immediato per una vasta gamma di utenti o per Kraken stessa. Spesso riguardano componenti di livello relativamente basso/fondamentale in uno dei nostri stack di applicazioni o infrastrutture. Ad esempio:

• Esecuzione di codice/comandi arbitrari su un server del nostro network di produzione.
• Query arbitrarie su un database di produzione.
• Bypassare il nostro processo di accesso, sia con password che con Autenticazione a due fattori.
• Accesso ai dati sensibili degli utenti di produzione o accesso ai sistemi di produzione interni.

Gravità elevata

I problemi di gravità elevata consentono a un aggressore di leggere o modificare dati altamente sensibili a cui non è autorizzato ad accedere. In genere hanno un ambito di applicazione più ristretto rispetto ai problemi critici, anche se possono comunque garantire a un aggressore un accesso esteso. Ad esempio:

• XSS che aggira il CSP
• Scoprire dati sensibili dell'utente in una risorsa esposta pubblicamente
• Ottenere l'accesso a un sistema non critico a cui un account utente finale non dovrebbe avere accesso

Gravità media

I problemi di media gravità consentono a un aggressore di leggere o modificare quantità limitate di dati a cui non è autorizzato ad accedere. In genere consentono l'accesso a informazioni meno sensibili rispetto ai problemi di gravità elevata. Ad esempio:

• Divulgazione di informazioni non sensibili da un sistema di produzione a cui l'utente non dovrebbe avere accesso
• XSS che non bypassa il CSP o non esegue azioni sensibili nella sessione di un altro utente
• CSRF per azioni a basso rischio

Gravità bassa

I problemi di bassa gravità consentono a un aggressore di accedere a quantità estremamente limitate di dati. Possono violare un'aspettativa di funzionamento, ma non consentono quasi nessuna escalation di privilegi o la possibilità di innescare comportamenti indesiderati da parte di un aggressore. Ad esempio:

• L'attivazione di pagine di errore verbose o di debug senza la prova della sfruttabilità o dell'ottenimento di informazioni sensibili.

Inammissibilità

Tra le segnalazioni che non ci riguardano e che non danno diritto a ricompense figurano le seguenti:

• Vulnerabilità su siti ospitati da terze parti (support.kraken.com, ecc.) a meno che non determinino una vulnerabilità sul sito principale. Vulnerabilità e bug sul blog di Kraken (blog.kraken.com).
• Vulnerabilità legate ad attacchi fisici, social engineering, spamming, attacchi DDOS, ecc.
• Vulnerabilità che riguardano i browser obsoleti o senza patch.
• Vulnerabilità nelle applicazioni di terze parti che utilizzano le API di Kraken.
• Vulnerabilità divulgate pubblicamente in librerie o tecnologie di terze parti utilizzate nei prodotti, nei servizi o nell'infrastruttura di Kraken prima di 30 giorni dalla divulgazione pubblica del problema.
• Vulnerabilità che sono state rese pubbliche prima che Kraken rilasciasse una correzione completa.
• Vulnerabilità già note a noi o già segnalate da altri (la ricompensa va al primo segnalatore).
• Problemi che non sono riproducibili.
• Vulnerabilità che richiedono un livello improbabile di interazione con l'utente.
• Vulnerabilità che richiedono root/jailbreak su mobile.
• Intestazioni di sicurezza mancanti senza prove di sfruttabilità.
• Suite di cifratura TLS offerte.
• Suggerimenti sulle best practice.
• Divulgazione della versione del software.
• Qualsiasi segnalazione senza istruzioni dettagliate e non accompagnata da un exploit proof-of-concept.
• Problemi per i quali non possiamo ragionevolmente intervenire, ad esempio problemi nelle specifiche tecniche che Kraken deve implementare per conformarsi a tali standard.
• I risultati di strumenti/scanner automatizzati o report generati dall'IA.
• Problemi che non hanno impatto sulla sicurezza.

Problemi non legati alla sicurezza

Puoi segnalare i problemi non legati alla sicurezza qui: https://support.kraken.com.