バグバウンティ

バグを発見して
ビットコインをもらおう

バグバウンティ

弊社の専門家チームは、システム上に存在するバグを潰すため尽力を尽くしていますが、重大な脆弱性を見逃している可能性は常につきものです。お客様がバグを発見された場合には、確実に検証をし弊社へご報告ください。 迅速に対応をさせていただきます。重大なバグを発見された場合、謝礼および当ウェブサイトのウォールオブフェーム(下記)へお名前を記載させていただきます。

 

確実な検証と報告 

確実な検証と報告とは次の条件を満たすことを意味しますが、これらに限定されるものではありません。

  • 他のユーザーのプライバシー侵害、データの破壊、弊社サービスの妨害等を行わないこと。
  • バグの検証では、自身のアカウントのみをターゲットとすること。他のユーザーのアカウントへのアクセスを試みること、ターゲットにすること、また妨害は行わないこと。
  • 弊社のセキュリティ対策をターゲットにしないこと。また、ソーシャルエンジニアリング、スパム、分散型サービス拒否(DDoS)攻撃などの使用を試みないこと。
  • はじめに弊社にのみバグを報告し、他者への報告は行わないこと。
  • 弊社にてバグを修復するための適当な時間が経過するまで、他者にバグを開示しないこと。また、他者にバグを開示する前に書面による適切な警告を当社に示すこと。

一般的には、弊社や弊社のユーザーに妨害的または有害とならないよう、バグの調査、報告に誠意を持って取り組むこと。これに反する場合には、弊社支援のための取り組みではなく、攻撃とみなされることもあります。

 

謝礼の対象となる場合

一般的に、弊社ウェブサイトのセキュリティまたは弊社取引システム保全性のいずれかに重大な脆弱性を引き起こすバグを発見された場合は、謝礼の対象となります。ただし、謝礼の対象となるか否かの判断は、全面的に当社の裁量で決定させていただきます。

通常、謝礼対象となるセキュリティ問題は次のとおりです(必ずしも該当するとは限りません)。

  • クロスサイトリクエストフォージェリ(CSRF)
  • クロスサイトスクリプティング(XSS)
  • コードインジェクション
  • リモートコード実行
  • 特権昇格
  • 認証バイパス
  • クリックジャッキング
  • L機密データの漏洩

 

謝礼の対象とならない場合

以下は謝礼の対象とはなりません。

  • 第三者が運営するサイト(support.kraken.com等)での脆弱性を発見した場合。(メインウェブサイト上の脆弱性につながる場合を除く)
  • Krakenのブログ(blog.kraken.com)上での脆弱性とバグを発見した場合。
  • 物理的攻撃、ソーシャルエンジニアリング、スパミング、DDoS 攻撃などに付随する脆弱性を発見した場合。
  • 旧式ブラウザまたはパッチが当てられていないブラウザに影響する脆弱性を発見した場合。
  • KrakenのAPIを使用した第三者アプリケーションにおける脆弱性を発見した場合。
  • 確実な検証および報告が なされていない 場合。
  • 弊社で確認済みのバグ、もしくは他者によって既に報告済みのバグの場合。(謝礼は最初の報告者へ渡されます。)
  • 再現性のない問題の場合。
  • 弊社で合理的な対応をすることができない問題の場合。

 

謝礼

  • 適格なバグ報告をされた場合には、最低$100分のビットコインを差し上げます。
  • 最低謝礼額以上の謝礼金の支払いは弊社の裁量によりますが、特に深刻な問題を発見された場合には見合った金額を支払います。
  • 謝礼はバグ一件につき一度のみ支払われます。

 

バグの報告方法

  • バグのご報告は bugbounty@kraken.comまでお送りください。
  • 報告書には、バグの説明、潜在的影響、再現手順、懸念実証等を出来るだけ詳細にご記入ください。
  • 弊社のウォールオブフェイムへの表示をご希望の場合、お名前とリンク先をご記入ください。(任意)
  • 謝礼の支払い先としてお客様のBTCアドレスをご記入ください。
  • 弊社からの返信は2営業日かかる場合があります。

 

Abhishek
Dashora
Ad
Steijvers
Aakash
Kumar
Ali
Hasan Ghauri
Anand
Prakash
Curesec
GmbH
Eugene
Farfel
mrrm
Muhammad
Shahmeer
N B
Sri Harsha
Rafay
Baloch
Rakesh
Mane
Sitanshu
Dubey
Sunil
Dadhich
Vahagn
Vardanyan
Vinayendra
Nataraja