Kraken

보안취약점 신고제

보안취약점을 신고해서 비트코인을 
받으세요

보안취약점 신고제

저희 전문가 팀이 시스템의 모든 버그를 해결하기 위해 모든 노력을 기울였음에도 불구하고 중대한 취약점이 있는 버그를 놓쳤을 가능성이 항상 있습니다. 버그를 발견 한 경우 가능한 한 빨리 해결하기 위해 책임감 있게 조사하고 보고해 주시면 감사하겠습니다. 심각한 버그를 찾아서 보고할 경우, 아래의 명예의 벽에 올라가게 되며 보상을 해 드립니다.

 

책임 있는 조사 및 보고 

책임 있는 조사 및 보고에는 다음이 포함되지만 이에 국한되지는 않습니다:

  • 다른 사용자의 프라이버시를 침해하거나, 데이터를 파괴하거나, 서비스를 방해하는 등의 행위를 하지 마세요.
  • 버그를 조사하는 과정에서 자신의 계정에만 실험을 하세요. 다른 사용자의 계정을 대상으로 하거나 접속을 시도하거나 방해하지 마세요.
  • 우리의 물리적 보안 조치를 목표로 하거나, 사회 공학, 스팸, 분산 서비스 거부(DDOS) 공격 등을 이용하려고 하지 마세요.
  • 버그를 찾으면 크라켄에게 만 보고하고 다른 사람에게는 보고하지 마세요.
  • 저희가 버그를 다른 사람에게 공개하기 전에 적절한 시간을 주고, 다른 사람에게 버그를 공개하기 전에 저희에게 적절한 서면 경고를 보내주세요.

일반적으로, 저희나 크라켄 고객님들에게 해를 끼치지 않도록 합리적이고 선의의 노력을 기울이는 방식으로 버그를 조사하고 보고하세요. 그렇지 않으면 고객님의 행동이 도움이 되기 위한 노력이 아니라 공격으로 해석될 수 있습니다.

 

자격

일반적으로 사이트의 보안이나 거래 시스템의 무결성에 중대한 취약점을 일으키는 버그는 보상을받을 수 있습니다. 그러나 버그가 보상받을 자격이 있는지 여부를 결정하는 것은 전적으로 저희의 재량입니다.

일반적으로 자격이되는 보안 문제 (모든 경우에 해당되는 것은 아님)는 다음과 같습니다:

  • 사이트 간 요청 위조 (CSRF)
  • 교차 사이트 스크립팅 (XSS)
  • 코드 주입
  • 원격 코드 실행
  • 권한 상승
  • 인증 무시
  • 클릭재킹
  • 중요 데이터의 누출

 

부적격

보상을받을 수 없는 것에는 다음이 포함됩니다:

  • 기본 웹 사이트에 취약점을 유발하지 않는 한 타사 (support.kraken.com 등)가 호스팅하는 사이트의 취약점.
  • 크라켄 블로그의 취약점 및 버그 (blog.kraken.com)
  • 물리적 공격, 사회 공학, 스팸, DDOS 공격 등에 취약한 취약점.
  • 오래되거나 패치되지 않은 브라우저에 영향을주는 취약점
  • 크라켄의 API를 사용하는 타사 응용 프로그램의 취약성
  • 책임감 있게 조사 및 보고되지 않은 버그.
  • 이미 알려 졌거나 다른 사람이 이미보고 한 버그 (보상은 첫 번째 보고자에게 전달됨).
  • 재현 할 수없는 문제.
  • 크라켄이 합리적으로 아무것도 할 수 없는 문제들.

 

보상

  • 적격 버그에 대한 최소 보상은 비트 코인에서 100 USD에 해당합니다.
  • 최소에 대한 보상은 우리의 재량에 달려 있지만, 특히 심각한 문제에 대해서는 더 많은 비용을 지불합니다.
  • 버그 당 하나의 보상.

 

버그를 신고하는 방법

  • 버그 리포트를 bugbounty@kraken.com로 보내주세요.
  • 버그 설명, 잠재적 영향, 버그 재현 단계 또는 개념 증명을 포함하여 가능한 많은 정보를 보고서에 포함 시켜주세요.
  • 명예의 전당에 표시하려는 이름과 링크를 포함하세요 (선택 사항).
  • 보상을 받을 BTC 주소를 포함하세요.
  • 다른 이메일을 보내기 전에 영업일 기준 2 일을 기다려주세요.

 

명예 의 전당

본 프로그램에 공헌한 자

Rewards

All bounty submissions are rated by Kraken and paid out based on vulnerability rating. All payouts will proceed in BTC and are defined as a guideline and subject to change.

  • All bug reports must be submitted to bugbounty@kraken.com
  • Asking for payment in exchange for vulnerability details will result in immediate ineligibility of bounty payments. 
  • If we cannot reproduce your findings, your report will not be eligible for payout. We ask you to provide as detailed a report as possible with all steps necessary to reproduce your findings. 
  • Include your Bitcoin (BTC) Address for Payment. All rewards will be issued in Bitcoin.
  • The minimum payout is Bitcoin (BTC) equivalent of $500 USD.

Program Statistics

  • 29 reports rewarded in the last year
  • $775 average payout in the last year

Wall of Fame

See below some of the researchers who have been previously rewarded through Kraken's Bug Bounty program.

Wall of FameResearcherAmount Rewarded
InducteesGal Nagli - Twitter, LinkedIn$2,000
This information is updated monthly.

Vulnerability Ratings

Critical

Critical severity issues present a direct and immediate risk to a broad array of our users or to Kraken itself. They often affect relatively low-level /foundational components in one of our application stacks or infrastructure. For example:

  • arbitrary code/command execution on a server in our production network.
  • arbitrary queries on a production database.
  • bypassing our sign-in process, either password or 2FA.
  • access to sensitive production user data or access to internal production systems.

 

High

High severity issues allow an attacker to read or modify highly sensitive data that they are not authorized to access. They are generally more narrow in scope than critical issues, though they may still grant an attacker extensive access. For example:

  • XSS which bypasses CSP
  • Discovering sensitive user data in a publicly exposed resource
  • Gaining access to a non-critical, system to which an end user account should not have access

 

Medium

Medium severity issues allow an attacker to read or modify limited amounts of data that they are not authorized to access. They generally grant access to less sensitive information than high severity issues. For example:

  • Disclosing non-sensitive information from a production system to which the user should not have access
  • XSS that does not bypass CSP or does not execute sensitive actions in another user’s session
  • CSRF for low risk actions

 

Low

Low severity issues allow an attacker to access extremely limited amounts of data. They may violate an expectation for how something is intended to work, but it allows nearly no escalation of privilege or ability to trigger unintended behavior by an attacker. For example:

  • Triggering verbose or debug error pages without proof of exploitability or obtaining sensitive information.

 

Ineligibility

Reports in which we are not interested include:

  • Vulnerabilities on sites hosted by third parties (support.kraken.com, etc) unless they lead to a vulnerability on the main website. Vulnerabilities and bugs on the Kraken blog (blog.kraken.com)
  • Vulnerabilities contingent on physical attack, social engineering, spamming, DDOS attack, etc.
  • Vulnerabilities affecting outdated or unpatched browsers.
  • Vulnerabilities in third party applications that make use of Kraken's API.
  • Vulnerabilities that have not been responsibly investigated and reported.
  • Vulnerabilities already known to us, or already reported by someone else (reward goes to first reporter). Issues that aren't reproducible.
  • Vulnerabilities that require an improbable level of user interaction.
  • Vulnerabilities that require root/jailbreak on mobile.
  • Missing security headers without proof of exploitability.
  • TLS Cipher Suites offered.
  • Suggestions on best practices.
  • Software version disclosure.
  • Any report without an accompanying proof of concept exploit.
  • Issues that we can't reasonably be expected to do anything about.
  • The output from automated tools/scanners.
  • Issues without any security impact.

 

Non-security Issues

You can let us know about non-security issues at https://support.kraken.com.