Kraken

バグバウンティー

ビットコインを獲得する 
セキュリティのバグの発見

概要

2011年に開設されたクラーケン暗号資産取引所は、世界最大級で最も長い歴史を持つビットコイン取引所であり、取扱う暗号資産と政府発行通貨の範囲も最大級です。サンフランシスコに本社を置き、世界中に事業所を展開しているクラーケンの取引プラットフォームは、独立系のニュースメディアから最良かつ最も安全な暗号資産取引所として一貫して最高の評価を獲得しています。ドイツ連邦金融監督庁の監督下にあるフィドール銀行をはじめ、数十万ものトレーダー、金融機関、および政府機関に信頼されているクラーケンは、ブルームバーグターミナル上に市場データが表示され、暗号資産の検証が可能なプルーフ・オブ・リザーブ(PoR)監査に合格した最初の取引所であり、証拠金による現物取引を初めて提供した取引所でもあります。クラーケンの投資家には、Blockchain Capital、Digital Currency Group、Hummingbird Ventures、Money Partners Groupなどがあります。

方針

クラーケンは、当社製品とユーザーを安全に保つ手助けをするセキュリティ専門家と開発者の価値を強く信じております。クラーケンは、バグバウンティープログラムによって「協調的な脆弱性の公開」(CVD)を確立し推奨しています。バグバウンティープログラムは、暗号資産市場でのお客様の保護を助けることで、クラーケンの使命に貢献しています。

クラーケンは、善意による偶発的な違反を含め、公開済みのクラーケンバグバウンティー方針のすべてに従って実施したセキュリティ調査について、法的行動をとらないことに同意します。可能なときはいつでも、テストアカウントの作成による意図的なプライバシー侵害はお避けください。発見事項の検証のためアカウントの所有者から書面による明示的な同意を受けていないアカウントで、個人の識別が可能な情報またはその他の取扱に注意を要する情報に万一遭遇した場合は、直ちにそのデータへのアクセスを停止し、データ自体ではなくデータの説明を添えて、クラーケンに問題を報告してください。他のユーザーのデータを保存または転送しないでください。また、リサーチの途上で偶発的にまたは故意に取得した、自分のものではないデータのコピーはすべて破壊してください。セキュリティの脆弱性ではなく、データ侵害またはデータレポジトリの場所をレポートする場合は、データの場所を提供し、それ以上そのデータにアクセスしないでください。また、データの場所は他の誰かと共有しないでください。

クラーケンでは、この方針に準拠して実施した活動は、コンピューター詐欺・不正利用防止法(CFAA)、デジタルミレニアム著作権法(DMCA)、およびカリフォルニア州刑法503(c)のような反ハッキング法によって「認められる」行為であると確信しています。バグバウンティープログラムの適用範囲においてアプリケーションの保護のためクラーケンが使用してきた技術的対策をリサーチャーが回避したことで、クラーケンがリサーチャーに対して請求を行うことはありません。  ただし、この方針に従っていることが、クラーケンや他の単体の組織または政府が、国際法の適用除外に同意しているということを意味するわけではありません。反ハッキング、データとプライバシー、および輸出規制に関して適用される国内法および国際法を理解し遵守することは、個々のセキュリティリサーチャーの責務です。この方針に従っていたにもかかわらず第三者から法的措置を起こされた場合、クラーケンは関係する法執行機関または原告に、リサーチ活動が当社の知る限りこのプログラムの利用規約に準拠し、それを遵守して実施されたことを通知します。 

リサーチャーは、本方針に準拠しない行為または本方針に記載されていない行為に携わる場合、事前にクラーケンに通知を送る必要があります。クラーケンでは、リサーチャーが自信を持って調査し報告するために有用な、本方針の明確化のための提案を歓迎します。

リワード

バウンティー関係の提出事項はすべてクラーケンが評価し、脆弱性評価に基づいてペイアウトします。ペイアウトはすべてBTCで行われます。また、ガイドラインによって定義され、変更されることがあります。

  • バグレポートはすべて[email protected]に提出しなければなりません。
  • バグバウンティーの支払いを受けるには、個人アカウントレベルで登録し、身元確認書類を提出しなければなりません。次もご覧ください: https://support.kraken.com/hc/en-us/articles/360000672203-Document-requirements-for-verification
  • 脆弱性の詳細と引き換えに支払いを求めると、即座にバウンティーの受給資格を失います。 
  • 発見された脆弱性を当社で再現できない場合、レポートはペイアウトの対象ではなくなります。発見した問題を再現するために必要な全手順を記載した、可能な限り詳細なレポートを提出するようお願いいたします。 
  • 支払用のビットコイン(BTC)アドレスを記載してください。リワードはすべてビットコインで発行されます。
  • 最少支払額は下記に規定してあります。すべての支払いは、クラーケンの裁量で修正されることがあります。
  • ペイアウト最少額は、500USD相当のビットコイン(BTC)です。
支払いスケール深刻度範囲
 深刻度低500ドルから1,000ドル
 深刻度中2,000ドルから3,000ドル
 深刻度高10,000とるから20,000ドル
 深刻度重大100,000ドル以上

リワード最新情報:

2022年6月1日発効。リサーチャーは全員、リワードのペイアウトを円滑化するため、個人アカウントレベルで認証済みの有効なクラーケンアカウントを作成し保持しなければなりません。 

認証レベル:https://support.kraken.com/hc/en-us/articles/360001395743-Verification-levels-explained

アカウントの作成:https://www.kraken.com/sign-up

下記の特性は、バグバウンティーリワードの範囲内です

リワードはすべてビットコインで発行されます

URL特性名
www.kraken.comメインウェブサイト
api.kraken.comREST API
  • ws.kraken.com
  • ws-auth.kraken.com
WebSocket API
futures.kraken.comクラーケン先物サイト
futures.kraken.com/derivatives/api/v3Kraken Futures REST API
trade.kraken.comクラーケンプロサイト
www.cryptowat.chクリプトウォッチメインサイト
api.cryptowat.chCryptowatch REST API
stream.cryptowat.chCryptowatch WebSockets API
www.cryptofacilities.comCrypto Facilitiesウェブサイト
www.cryptofacilities.co.ukCryptofacilities UKウェブサイト
www.cfbenchmarks.comCfbenchmarksウェブサイト
www.staked.usステークされたウェブサイト
cryptowat.ch/apps/desktopCryptowatch Desktop
Cryptowatch Mobile Application
Kraken Mobile Application
Kraken Proモバイルアプリ
クラーケン所有の資産クラーケンに所有され維持されていることが確認済みのホスト

プログラム統計

  • 84件昨年中にリワードを獲得したレポート
  • 1127件昨年中に提出されたレポート
  • 998ドル 昨年の平均ペイアウト

ウォールオブフェイム

クラーケンのバグバウンティープログラムで以前リワードを受け取ったことのあるリサーチャーの一部については、下記をご覧ください。

ウォールオブフェイムリサーチャーリワード額
加入者デベンドラ・ヒャリジ45,100ドル
 UGWST - Twitter$30,000
 Redacted*$20.000
 Md Al Nafis Aqil Haque$11,000
 Redacted*$10,000
 スニル・イェダ - Twitter9,500ドル
 モハメド・アル・ナフィス・アキル・ハク8,500ドル
 ランジート・クマール・シン - TwitterLinkedIn6,000ドル
 修正後*3,800ドル
 ガル・ナジリ - TwitterLinkedIn3,500ドル
 
* 本人の要望によりリサーチャー名の掲載は控えます		 
この情報は四半期ごとに更新されます。

脆弱性評価

重大

深刻度が重大の問題は、数多くのクラーケンのユーザーとクラーケン自体に直接勝つ緊急のリスクをもたらします。しばしば、クラーケンのアプリケーションスタックまたはインフラストラクチャの1つの比較的低レベル/基礎的コンポーネントに影響を及ぼします。例:

  • 当社の実働ネットワーク内のサーバーにおける恣意的なコード/コマンド実行
  • 実働データベースでの恣意的なクエリー
  • サインインプロセスのパスワードまたは2要素認証のバイパス
  • 取扱に注意を要する実働ユーザーデータへのアクセスまたは内部実働システムへのアクセス

 

深刻度高の問題があると、攻撃者によるアクセス権限のない、特に取扱に注意が必要なデータの読み取りまたは改変が可能になります。深刻度高の問題は、深刻度重大の問題よりもその範囲が狭いことが多いのですが、それでも攻撃者に広範囲のアクセスを許すことがあります。例:

  • CSPをバイパスするXSS
  • 一般に公開されたリソース内のデリケートなユーザーデータの発見
  • エンドユーザーアカウントがアクセスすべきでないが重要ではないシステムへのアクセス

 

深刻度中の問題があると、攻撃者によるアクセス権限のない限定的な量のデータの読み取りまたは改変が可能になります。一般に、この種の問題によってアクセス可能な情報は、深刻度高の問題ほど機密性が高くないものです。例:

  • ユーザーがアクセスすべきではない実働システムの機密以外の情報の開示
  • CSPをバイパスしないか、別のユーザーのセッションで機密上重要なアクションを実行しないXSS
  • 低リスクアクションのためのCSRF

 

深刻度低の問題があると、極めて限られた量のデータに攻撃者がアクセスできます。こうした問題があると、何かの意図した動作の仕方に対する期待が裏切られますが、意図しない動作を攻撃者が引き起こせるほどの権限や能力の拡大はほとんどありません。例:

  • 悪用可能性に対する保護のない詳細なエラーページまたはデバッグエラーページの起動、または機密情報の入手

 

不適格なもの

当社が関心を持たないレポートには次のようなものがあります。

  • 第三者がホストするサイト(たとえばsupport.kraken.com)の脆弱性、ただしメインウェブサイトの脆弱性につながるものを除きます。クラーケンブログ(blog.kraken.com)の脆弱性とバグ
  • 物理的攻撃、ソーシャルエンジニアリング、スパミング、DDOS攻撃などについて起こりえる脆弱性
  • 旧式のまたはパッチの当てられていないブラウザに影響する脆弱性
  • クラーケンのAPIを利用する第三者のアプリケーションの脆弱性
  • 問題公表から30日以内に、クラーケンの製品、サービス、またはインフラストラクチャで使用する第三者のライブラリまたはテクノロジーで公開された脆弱性
  • クラーケンが包括的な修正を発表する前に公開された脆弱性
  • クラーケンがすでに知っているか、すでに別の人物によって報告済みの脆弱性(リワードは最初の報告者に支払われます)再現性のない問題
  • ありそうにないほどのユーザーの干渉が必要な脆弱性
  • モバイルのルート化/プロテクト解除が必要な脆弱性
  • 悪用可能性に対する保護のない、セキュリティヘッダの脱落
  • 提供されたTLS Cipher Suites
  • ベストプラクティスの提案
  • ソフトウェアバージョンの開示
  • 関係する概念実証のないレポート
  • その規格に準拠するためにクラーケンが実装しなければならない技術的仕様の問題など、それについてすべきことが合理的に予測できない問題
  • 自動化されたツール/スキャナからの出力
  • セキュリティに影響がない問題

 

セキュリティ以外の問題

セキュリティ以外の問題については、https://support.kraken.comからご通知いただけます。