バグ発見謝礼金

バグを見つけてビットコインをもらおう

バグ発見謝礼金

当社の専門家チームは、システム内のすべてのバグをつぶすためにあらゆる努力を払っておりますが、重大な脆弱性を引き起こす箇所を見逃している可能性は常につきものです。お客様がバグを見つけた場合には、責任を持って調査し当社に報告していただいければ、できるだけ早くそれに対応致しますので、ご協力をお願い致します。重大なバグの場合、謝礼および当ウェブサイトのウォールオブフェーム(下記)へお名前の記載をさせていただきます。

責任ある調査・報告

責任ある調査・報告とは次の条件を満たすことを意味しますが、これらに限定しません。

  • 他のユーザーへのプライバシー侵害、データの破壊、当社サービスの妨害などをしない。
  • バグを調査する過程では、ご自分のアカウントのみをターゲットとする。 他のユーザーのアカウントにアクセスするなどしてこれらのアカウントの妨害を試みない。
  • 当社のセキュリティ対策をターゲットにしない。また、ソーシャルエンジニアリング、スパム、分散型サービス拒否攻撃(DDoS)攻撃などの使用を試みない。
  • 最初に当社にのみバグを報告し、他者には報告しない。
  • 他者にバグを開示する前に、当社がバグを修復する妥当な時間を当社に与える。また、他者にバグを開示する前に書面による適切な警告を当社に示す。

一般に、当社や当社ユーザーに妨害的または有害とならない妥当で誠実な努力を行ってバグの調査・報告を行うようお願いします。それ以外の場合、お客様の行為は、当社支援のための努力ではなく、攻撃とみなされることもあります。

謝礼の対象となる場合

一般的に言って、当社サイトのセキュリティまたは当社取引システムの完全性のいずれであっても、重大な脆弱性を引き起こすバグを発見された場合は謝礼の対象となります。ただし、バグが謝礼の対象となる程に重大であるかどうかの判断は、全面的に当社の裁量で決定させていただきます。

通常、謝礼対象となるセキュリティ問題は次のとおりです(すべての場合に当てはまるとは限りません)。

  • クロスサイトリクエストフォージェリ(CSRF)
  • クロスサイトスクリプティング(XSS)
  • コードインジェクション
  • リモートコード実行
  • 権限昇格
  • 認証バイパス
  • クリックジャック
  • 機密データの漏洩

謝礼の対象とならない場合

以下は謝礼の対象とはなりません。

  • 第三者が運営するサイト(support.kraken.comなど)での脆弱性(メインウェブサイト上の脆弱性につながる場合を除く)。
  • 物理的攻撃、ソーシャルエンジニアリング、スパミング、DDoS 攻撃などに付随する脆弱性。
  • 旧式ブラウザまたはパッチなしブラウザに影響する脆弱性。
  • KrakenのAPIを活用した第三者アプリケーションにおける脆弱性。
  • 責任ある調査・報告がなされていないバグ。
  • 当社に既知となっているバグ。または、他者によって既に報告済みのバグ(謝礼は最初の報告者へ)
  • 再現されない問題。
  • 何かを実行することを当社が合理的に予期できない問題。

謝礼

  • 適格なバグには最低$100の謝礼を差し上げます。
  • 最小額を上回る謝礼については当社の裁量によりますが、特に深刻な問題については大幅に増額して支払います。
  • バグ1件あたり1謝礼のみです。

バグの報告方法

  • バグレポートは、bugbounty@kraken.comに送信してください。
  • バグの説明、バグの潜在的影響、バグの再現手順またはコンセプトの証明など、レポートにはできるだけ多くの情報を記載てください。
  • 当社のウォールオブフェイムに表示したい場合は、お名前とリンク先を記入してください(オプション)。
  • 謝礼の支払い先としてお客様のBTCアドレスを記入てください。
  • 2通目のEメールをお送りいただく前に、当社からのご返答を差し上げるまで2営業日ほどお時間をください。

ウォールオブフェイム