Kraken

バグ発見謝礼金制度(バグ・バウンティ)

バグを発見して
Bitcoinをもらおう

バグバウンティ

弊社の専門家チームは、システム上に存在するバグを潰すため尽力を尽くしていますが、重大な脆弱性を見逃している可能性は常につきものです。お客様がバグを発見された場合には、確実に検証をし弊社へご報告ください。 迅速に対応をさせていただきます。重大なバグを発見された場合、謝礼および当ウェブサイトのウォールオブフェーム(下記)へお名前を記載させていただきます。

 

確実な検証と報告 

確実な検証と報告とは次の条件を満たすことを意味しますが、これらに限定されるものではありません。

  • 他のユーザーのプライバシー侵害、データの破壊、弊社サービスの妨害等を行わないこと。
  • バグの検証では、自身のアカウントのみをターゲットとすること。他のユーザーのアカウントへのアクセスを試みること、ターゲットにすること、また妨害は行わないこと。
  • 弊社のセキュリティ対策をターゲットにしないこと。また、ソーシャルエンジニアリング、スパム、分散型サービス拒否(DDoS)攻撃などの使用を試みないこと。
  • はじめに弊社にのみバグを報告し、他者への報告は行わないこと。
  • 弊社にてバグを修復するための適当な時間が経過するまで、他者にバグを開示しないこと。また、他者にバグを開示する前に書面による適切な警告を当社に示すこと。

一般的には、弊社や弊社のユーザーに妨害的または有害とならないよう、バグの調査、報告に誠意を持って取り組むこと。これに反する場合には、弊社支援のための取り組みではなく、攻撃とみなされることもあります。

 

謝礼の対象となる場合

一般的に、弊社ウェブサイトのセキュリティまたは弊社取引システム保全性のいずれかに重大な脆弱性を引き起こすバグを発見された場合は、謝礼の対象となります。ただし、謝礼の対象となるか否かの判断は、全面的に当社の裁量で決定させていただきます。

通常、謝礼対象となるセキュリティ問題は次のとおりです(必ずしも該当するとは限りません)。

  • クロスサイトリクエストフォージェリ(CSRF)
  • クロスサイトスクリプティング(XSS)
  • コードインジェクション
  • リモートコード実行
  • 特権昇格
  • 認証バイパス
  • クリックジャッキング
  • L機密データの漏洩

 

謝礼の対象とならない場合

以下は謝礼の対象とはなりません。

  • 第三者が運営するサイト(support.kraken.com等)での脆弱性を発見した場合。(メインウェブサイト上の脆弱性につながる場合を除く)
  • Krakenのブログ(blog.kraken.com)上での脆弱性とバグを発見した場合。
  • 物理的攻撃、ソーシャルエンジニアリング、スパミング、DDoS 攻撃などに付随する脆弱性を発見した場合。
  • 旧式ブラウザまたはパッチが当てられていないブラウザに影響する脆弱性を発見した場合。
  • KrakenのAPIを使用した第三者アプリケーションにおける脆弱性を発見した場合。
  • 確実な検証および報告が なされていない 場合。
  • 弊社で確認済みのバグ、もしくは他者によって既に報告済みのバグの場合。(謝礼は最初の報告者へ渡されます。)
  • 再現性のない問題の場合。
  • 弊社で合理的な対応をすることができない問題の場合。

 

謝礼

  • 適格なバグ報告をされた場合には、最低$100分のBitcoinを差し上げます。
  • 最低謝礼額以上の謝礼金の支払いは弊社の裁量によりますが、特に深刻な問題を発見された場合には見合った金額を支払います。
  • 謝礼はバグ一件につき一度のみ支払われます。

 

バグの報告方法

  • バグのご報告は bugbounty@kraken.comまでお送りください。
  • 報告書には、バグの説明、潜在的影響、再現手順、懸念実証等を出来るだけ詳細にご記入ください。
  • 弊社のウォールオブフェイムへの表示をご希望の場合、お名前とリンク先をご記入ください。(任意)
  • 謝礼の支払い先としてお客様のBTCアドレスをご記入ください。
  • 弊社からの返信は2営業日かかる場合があります。

 

ウォールオブフェーム

以下に当プログラムへご尽力いただいた皆様をご紹介します。

Rewards

All bounty submissions are rated by Kraken and paid out based on vulnerability rating. All payouts will proceed in BTC and are defined as a guideline and subject to change.

  • All bug reports must be submitted to bugbounty@kraken.com
  • Asking for payment in exchange for vulnerability details will result in immediate ineligibility of bounty payments. 
  • If we cannot reproduce your findings, your report will not be eligible for payout. We ask you to provide as detailed a report as possible with all steps necessary to reproduce your findings. 
  • Include your Bitcoin (BTC) Address for Payment. All rewards will be issued in Bitcoin.
  • The minimum payout is Bitcoin (BTC) equivalent of $500 USD.

Program Statistics

  • 29 reports rewarded in the last year
  • $775 average payout in the last year

Wall of Fame

See below some of the researchers who have been previously rewarded through Kraken's Bug Bounty program.

Wall of FameResearcherAmount Rewarded
InducteesGal Nagli - Twitter, LinkedIn$2,000
This information is updated monthly.

Vulnerability Ratings

Critical

Critical severity issues present a direct and immediate risk to a broad array of our users or to Kraken itself. They often affect relatively low-level /foundational components in one of our application stacks or infrastructure. For example:

  • arbitrary code/command execution on a server in our production network.
  • arbitrary queries on a production database.
  • bypassing our sign-in process, either password or 2FA.
  • access to sensitive production user data or access to internal production systems.

 

High

High severity issues allow an attacker to read or modify highly sensitive data that they are not authorized to access. They are generally more narrow in scope than critical issues, though they may still grant an attacker extensive access. For example:

  • XSS which bypasses CSP
  • Discovering sensitive user data in a publicly exposed resource
  • Gaining access to a non-critical, system to which an end user account should not have access

 

Medium

Medium severity issues allow an attacker to read or modify limited amounts of data that they are not authorized to access. They generally grant access to less sensitive information than high severity issues. For example:

  • Disclosing non-sensitive information from a production system to which the user should not have access
  • XSS that does not bypass CSP or does not execute sensitive actions in another user’s session
  • CSRF for low risk actions

 

Low

Low severity issues allow an attacker to access extremely limited amounts of data. They may violate an expectation for how something is intended to work, but it allows nearly no escalation of privilege or ability to trigger unintended behavior by an attacker. For example:

  • Triggering verbose or debug error pages without proof of exploitability or obtaining sensitive information.

 

Ineligibility

Reports in which we are not interested include:

  • Vulnerabilities on sites hosted by third parties (support.kraken.com, etc) unless they lead to a vulnerability on the main website. Vulnerabilities and bugs on the Kraken blog (blog.kraken.com)
  • Vulnerabilities contingent on physical attack, social engineering, spamming, DDOS attack, etc.
  • Vulnerabilities affecting outdated or unpatched browsers.
  • Vulnerabilities in third party applications that make use of Kraken's API.
  • Vulnerabilities that have not been responsibly investigated and reported.
  • Vulnerabilities already known to us, or already reported by someone else (reward goes to first reporter). Issues that aren't reproducible.
  • Vulnerabilities that require an improbable level of user interaction.
  • Vulnerabilities that require root/jailbreak on mobile.
  • Missing security headers without proof of exploitability.
  • TLS Cipher Suites offered.
  • Suggestions on best practices.
  • Software version disclosure.
  • Any report without an accompanying proof of concept exploit.
  • Issues that we can't reasonably be expected to do anything about.
  • The output from automated tools/scanners.
  • Issues without any security impact.

 

Non-security Issues

You can let us know about non-security issues at https://support.kraken.com.