Kraken

Bug Bounty

Ottieni Bitcoin 
trovando bug di sicurezza

Informazioni

Fondato nel 2011, Kraken Digital Asset Exchange è uno dei più grandi e longevi exchange di bitcoin al mondo, con la più ampia selezione di asset digitali e valute nazionali. Con sede a San Francisco e uffici in tutto il mondo, la piattaforma di trading di Kraken è costantemente classificata come il migliore e più sicuro exchange di asset digitali dai media indipendenti. Affidato a centinaia di migliaia di trader, istituzioni e autorità, tra cui la Fidor Bank tedesca regolamentata dalla BaFin, Kraken è il primo exchange a mostrare i propri dati di mercato sul Bloomberg Terminal, a superare una verifica crittografica verificabile della prova delle riserve e il primo a offrire trading a pronti con margine. Tra gli investitori di Kraken figurano Blockchain Capital, Digital Currency Group, Hummingbird Ventures e Money Partners Group.

Politica

Kraken crede fermamente nel valore dei professionisti della sicurezza e degli sviluppatori che contribuiscono a mantenere sicuri i propri prodotti e utenti. Kraken ha istituito e incoraggia la divulgazione coordinata delle vulnerabilità (CVD) attraverso il nostro programma Bug Bounty. Il programma Bug Bounty serve alla missione di Kraken aiutando a proteggere i clienti del mercato delle valute digitali.

Kraken si impegna a non avviare azioni legali per le ricerche sulla sicurezza effettuate seguendo tutte le politiche di Kraken Bug Bounty pubblicate, comprese le violazioni accidentali e in buona fede. Ti invitiamo a evitare violazioni intenzionali della privacy creando account di prova quando possibile. Se dovessi trovare informazioni di identificazione personale o altri dati sensibili per account che non hai il consenso scritto del proprietario dell'account da utilizzare per convalidare le tue scoperte, interrompi immediatamente l'accesso a tali dati e segnala il problema a Kraken con una descrizione dei dati, non dei dati stessi. Ti invitiamo a non archiviare o trasmettere i dati di altri utenti e a distruggere tutte le copie di dati non tuoi che hai catturato accidentalmente o deliberatamente nel corso delle tue ricerche. Se stai segnalando una violazione dei dati o l'ubicazione di un archivio di dati invece di una vulnerabilità di sicurezza, ti preghiamo di fornire l'ubicazione dei dati e di non accedervi ulteriormente, né di condividere l'ubicazione dei dati con altri.

Riteniamo che le attività condotte in conformità a questa politica costituiscano una condotta "autorizzata" ai sensi del Computer Fraud and Abuse Act (CFAA), del Digital Millennium Copyright Act (DMCA) e delle leggi anti-hacking applicabili come il Cal. Penal Code 503(c). Non intenteremo una causa contro i ricercatori per aver aggirato le misure tecnologiche che abbiamo utilizzato per proteggere le applicazioni che rientrano nell'ambito del Bug Bounty Program. Tuttavia, seguire questa politica non significa che Kraken o qualsiasi altra organizzazione o governo possa garantire l'immunità dalle leggi globali. È responsabilità dei singoli ricercatori di sicurezza comprendere e rispettare tutte le leggi locali e internazionali applicabili in materia di anti-hacking, dati e privacy e controlli sulle esportazioni. Se una terza parte dovesse intentare un'azione legale contro di te e tu stessi rispettando i termini di questa politica, Kraken informerà le forze dell'ordine o le parti civili competenti che le tue attività di ricerca sono state condotte, per quanto a nostra conoscenza, in conformità e nel rispetto dei termini e delle condizioni di questo programma. 

È necessario che ogni ricercatore ci invii una notifica prima di intraprendere una condotta che potrebbe essere in contrasto con questa politica o che non è stata presa in considerazione. Siamo lieti di ricevere suggerimenti per chiarire la politica in modo da aiutare i ricercatori a condurre le loro ricerche e le loro relazioni con fiducia.

Ricompense

Tutte le segnalazioni inviate vengono valutate da Kraken e pagate in base alla valutazione della vulnerabilità. Tutti i pagamenti saranno effettuati in BTC e sono definiti come linee guida e soggetti a modifiche.

  • Tutte le segnalazioni di bug devono essere inviate a [email protected]
  • Per ricevere i pagamenti del programma Bug Bounty, devi registrarti al livello Intermediate e fornire la documentazione per la verifica. Vedi anche: https://support.kraken.com/hc/en-us/articles/360000672203-Document-requirements-for-verification
  • La richiesta di pagamento in cambio di dettagli sulla vulnerabilità comporterà l'immediata inammissibilità del pagamento della ricompensa. 
  • Se non siamo in grado di riprodurre le tue segnalazioni, non potremo pagarle. Ti chiediamo di fornire una segnalazione il più dettagliata possibile con tutti i passaggi necessari per riprodurla.
  • Includi il tuo indirizzo Bitcoin (BTC) per il pagamento. Tutte le ricompense saranno emesse in Bitcoin.
  • I pagamenti minimi sono definiti di seguito. Tutti i pagamenti possono essere modificati a discrezione di Kraken.
  • Il pagamento minimo è l'equivalente in Bitcoin (BTC)  di 500 dollari USA.
Scala di pagamentoGravitàIntervallo
 Gravità bassa500$ - 1.000$
 Gravità media2.000$ - 3.000$
 Gravità elevata10.000$ - 20.000$
 Gravità criticaOltre 100.000$

Aggiornamento sulle ricompense:

A partire dal 1° giugno 2022, tutti i ricercatori devono creare e disporre di un account di Kraken ATTIVO e verificato al livello Intermediate per facilitare il pagamento delle ricompense. 

Livelli di verifica: https://support.kraken.com/hc/en-us/articles/360001395743-Verification-levels-explained

Crea un account: https://www.kraken.com/sign-up

Statistiche del programma

  • 84 segnalazioni premiate nell'ultimo anno
  • 1.127 segnalazioni presentate nell'ultimo anno
  • Pagamento medio di $998 nell'ultimo anno

Wall of Fame

Di seguito sono elencati alcuni dei ricercatori che sono stati premiati in passato attraverso il programma Bug Bounty di Kraken.

Wall of FameRicercatoreImporto ricompensato
InduttoriDevendra Hyalij45.100$
 UGWST - Twitter$30,000
 Redacted*$20.000
 Md Al Nafis Aqil Haque$11,000
 Redacted*$10,000
 Sunil Yeda - Twitter9.500$
 Md Al Nafis Aqil Haque8.500$
 Ranjeet Kumar Singh - Twitter, LinkedIn6.000$
 Redatto*3.800$
 Gal Nagli - Twitter, LinkedIn3.500$
 
*Il nome dei ricercatori è stato oscurato su loro richiesta
 
Queste informazioni vengono aggiornate a cadenza trimestrale.

Livelli di vulnerabilità

Gravità critica

I problemi di gravità critica rappresentano un rischio diretto e immediato per una vasta gamma di utenti o per Kraken stessa. Spesso riguardano componenti di livello relativamente basso/fondamentale in uno dei nostri stack di applicazioni o infrastrutture. Ad esempio:

  • Esecuzione di codice/comandi arbitrari su un server del nostro network di produzione.
  • Query arbitrarie su un database di produzione.
  • Bypassare il nostro processo di accesso, sia con password che con 2FA.
  • Accesso ai dati sensibili degli utenti di produzione o accesso ai sistemi di produzione interni.

 

Gravità elevata

I problemi di gravità elevata consentono a un aggressore di leggere o modificare dati altamente sensibili a cui non è autorizzato ad accedere. In genere hanno un ambito di applicazione più ristretto rispetto ai problemi critici, anche se possono comunque garantire a un aggressore un accesso esteso. Ad esempio:

  • XSS che aggira il CSP
  • Scoprire dati sensibili dell'utente in una risorsa esposta pubblicamente.
  • Ottenere l'accesso a un sistema non critico a cui un account utente finale non dovrebbe avere accesso.

 

Gravità media

I problemi di media gravità consentono a un aggressore di leggere o modificare quantità limitate di dati a cui non è autorizzato ad accedere. In genere consentono l'accesso a informazioni meno sensibili rispetto ai problemi di gravità elevata. Ad esempio:

  • Divulgazione di informazioni non sensibili da un sistema di produzione a cui l'utente non dovrebbe avere accesso
  • XSS che non bypassa il CSP o non esegue azioni sensibili nella sessione di un altro utente
  • CSRF per azioni a basso rischio

 

Gravità bassa

I problemi di bassa gravità consentono a un aggressore di accedere a quantità estremamente limitate di dati. Possono violare un'aspettativa di funzionamento, ma non consentono quasi nessuna escalation di privilegi o la possibilità di innescare comportamenti indesiderati da parte di un aggressore. Ad esempio:

  • L'attivazione di pagine di errore verbose o di debug senza la prova della sfruttabilità o dell'ottenimento di informazioni sensibili.

 

Inammissibilità

Le segnalazioni a cui non siamo interessati includono:

  • Vulnerabilità su siti ospitati da terze parti (support.kraken.com, ecc.) a meno che non portino a una vulnerabilità sul sito principale. Vulnerabilità e bug sul blog di Kraken (blog.kraken.com)
  • Vulnerabilità legate ad attacchi fisici, social engineering, spamming, attacchi DDOS, ecc.
  • Vulnerabilità che riguardano i browser obsoleti o senza patch.
  • Vulnerabilità nelle applicazioni di terze parti che utilizzano le API di Kraken.
  • Vulnerabilità divulgate pubblicamente in librerie o tecnologie di terze parti utilizzate nei prodotti, nei servizi o nell'infrastruttura di Kraken prima di 30 giorni dalla divulgazione pubblica del problema.
  • Vulnerabilità che sono state rese pubbliche prima che Kraken rilasciasse una correzione completa.
  • Vulnerabilità già note a noi o già segnalate da altri (la ricompensa va al primo segnalatore). Problemi che non sono riproducibili.
  • Vulnerabilità che richiedono un livello improbabile di interazione con l'utente.
  • Vulnerabilità che richiedono root/jailbreak su mobile.
  • Intestazioni di sicurezza mancanti senza prove di sfruttabilità.
  • Suite di cifratura TLS offerte.
  • Suggerimenti sulle migliori pratiche.
  • Divulgazione della versione del software.
  • Qualsiasi segnalazione senza una prova di exploit accompagnata.
  • Problemi per i quali non possiamo ragionevolmente intervenire, come ad esempio problemi nelle specifiche tecniche che Kraken deve implementare per conformarsi a tali standard.
  • I risultati di strumenti/scanner automatizzati.
  • Problemi che non hanno impatto sulla sicurezza.

 

Problemi non legati alla sicurezza

Puoi segnalare i problemi non legati alla sicurezza qui: https://support.kraken.com.