Nagroda za zgłoszenie błędu

Zdobywaj Bitcoiny 
za znajdowanie błędów bezpieczeństwa

Nagroda za zgłoszenie błędu

Zdobywaj Bitcoiny 
za znajdowanie błędów bezpieczeństwa

Informacje

Założona w 2011 r. giełda aktywów cyfrowych Kraken jest jedną z największych i najstarszych giełd Bitcoin i ma najszerszy wybór aktywów cyfrowych i walut krajowych. Mająca siedzibę w San Francisco i biura na całym świecie platforma handlowa Kraken jest konsekwentnie oceniana przez niezależne media jako najlepsza i najbezpieczniejsza z giełd aktywów cyfrowych. Kraken, cieszący się zaufaniem setek tysięcy traderów, instytucji i władz, w tym regulowanego przez BaFin niemieckiego Fidor Bank, jest pierwszą giełdą, która pokazuje swoje dane rynkowe na terminalu Bloomberga, przechodzi weryfikowalny kryptograficznie audyt dowodu rezerwy i jako pierwsza giełda oferuje transakcje spot z marginem. Do inwestorów Krakena należą Blockchain Capital, Digital Currency Group, Hummingbird Ventures i Money Partners Group.

Omówienie programu nagród za zgłoszenie błędu

  • Kraken zachęca do odpowiedzialnego ujawniania luk w zabezpieczeniach za pośrednictwem naszego programu nagród za zgłoszenie błędu.
  • Badacze musze przestrzegać pisemnej polityki. Niniejsza polityka nie podlega negocjacjom.
  • Kluczowe zasady:
    • Działaj w dobrej wierze i unikaj naruszeń zasad.
    • Nie podejmuj zbędnych działań, aby udowodnić lukę w zabezpieczeniach. 
    • Nie stosuj gróźb ani żądań okupu.
    • Zgłaszaj luki w zabezpieczeniach, w tym instrukcje i wykorzystanie modelu koncepcyjnego, od razu po ich wykryciu i zweryfikowaniu.
  • Badacze są odpowiedzialni za przestrzeganie wszystkich obowiązujących przepisów prawa.
  • Próby podważenia lub naruszenia naszej polityki spowodują natychmiastowe wykluczenie z programu. Groźby lub próby wymuszenia mogą zostać przekazane organom ścigania.
  • Jeśli masz pytania dotyczące poszczególnych kwestii, skontaktuj się z nami pod adresem [email protected] w celu wyjaśnienia sprawy.

Polityka

Kraken silnie wierzy w wartość specjalistów ds. bezpieczeństwa i programistów, którzy pomagają w utrzymaniu bezpieczeństwa naszych produktów i użytkowników. Kraken wprowadził skoordynowane ujawnianie luk (CVD) na mocy swojego programu nagród za zgłaszanie błędów i zachęca do brania w nim udziału. Program nagród za zgłaszanie błędów służy misji Kraken, pomagając w chronieniu klientów na rynku walut cyfrowych.

Szukając błędów w systemach Kraken, zgadzasz się zachować wszystkie dane, informacje o lukach w zabezpieczeniach, swoje badania i komunikację z Kraken w ścisłej tajemnicy do czasu, gdy Kraken zajmie się daną kwestią i udzieli zgody na jej ujawnienie. 

W przypadku spełnienia wymogów niniejszej Polityki Kraken zgadza się nie wnosić żadnych pozwów sądowych z powodu badań bezpieczeństwa prowadzonych zgodnie ze wszystkimi opublikowanymi zasadami programu nagród za zgłaszanie błędów Kraken, wliczając w to przypadkowe naruszenia poczynione w dobrej wierze. 

Prosimy o unikanie celowego naruszania prywatności poprzez tworzenie kont testowych, gdy to tylko to możliwe. W przypadku natrafienia na informacje umożliwiające identyfikację (‘PII’) osób lub innych wrażliwych danych dotyczących kont, na których wykorzystanie w celu weryfikacji wniosków nie uzyskano jednoznacznej zgody właściciela konta na piśmie, należy natychmiast zaprzestać uzyskiwania dostępu do tych danych i zgłosić problem do Krakena, podając opis danych, ale nie same dane.

Zgodnie z przepisami o ochronie danych i naszą polityką prywatności:

  • Nie możesz przesyłać danych umożliwiających identyfikację’ innych klientów. W przypadku przechwycenia jakichkolwiek danych osobowych klienta niezwłocznie zgłoś to platformie Kraken, a następnie zniszcz wszystkie kopie danych osobowych, które do Ciebie nie należą. 
  • Ogranicz gromadzenie danych oraz uzyskiwanie do nich dostępu podczas testu. Gromadź i przechowuj wyłącznie dane absolutnie niezbędne do wykazania i zgłoszenia luki w zabezpieczeniach. 
  • Po przesłaniu raportu i potwierdzeniu jego otrzymania przez firmę Kraken natychmiast usuń wszystkie zgromadzone dane w bezpiecznych sposób.
  • Nie ujawniaj żadnych luk w zabezpieczeniach ani powiązanych informacji stronom trzecim bez wyraźnej pisemnej zgody Kraken. Obejmuje to między innymi media społecznościowe, inne firmy lub prasę.
  • Jeśli zgłaszasz naruszenie danych lub lokalizację repozytorium danych, a nie lukę w zabezpieczeniach, podaj lokalizację danych i nie uzyskuj do nich dalszego dostępu ani nie udostępniaj lokalizacji tych danych innym.

Wniosek o nagrodę za zgłoszenie błędu nie może nigdy zawierać gróźb ani prób wymuszenia. Nie mamy nic do wypłacania nagród za autentyczne ustalenia, ale żądania okupu do płatności się nie kwalifikują. Na przykład, nieujawnienie informacji o luce w zabezpieczeniach lub utrudnianie w inny sposób usunięcia luki w zabezpieczeniach do czasu spełnienia innych żądań zostanie uznane za żądanie okupu. Możemy być zobowiązani przez prawo lub dobrowolnie zdecydować się na poinformowanie odpowiednich organów o wszelkich wnioskach w ramach programu nagród za zgłoszenie błędu, które zawierają żądania okupu. 

Wierzymy, iż działania zgodne z tą polityką stanowią “uprawnione” postępowanie w rozumieniu amerykańskich ustaw Computer Fraud and Abuse Act (CFAA) i Digital Millennium Copyright Act (DMCA) oraz mających zastosowanie praw antyhakerskich takich, jak sekcja 503(c) kalifornijskiego kodeksu karnego. Nie będziemy wnosić pozwów przeciwko badaczom z powodu obchodzenia środków technologicznych, które wykorzystaliśmy do ochrony aplikacji objętych programem nagród za zgłaszanie błędów. Przestrzeganie tej polityki nie oznacza jednak, że Kraken ani jakakolwiek inna indywidualna organizacja czy jakikolwiek rząd może przyznać ochronę przed globalnymi przepisami. Badacze bezpieczeństwa mają obowiązek zrozumienia i przestrzegania wszystkich obowiązujących lokalnych i międzynarodowych przepisów dotyczących danych i prywatności, zwalczania hakerstwa oraz kontroli eksportu. Jeśli przeciwko Tobie wniesie pozew strona trzecia, choć przestrzegałeś warunków niniejszej polityki, Kraken poinformuje odpowiednie organy ścigania lub powodów cywilnych, że działania badawcze użytkownika były, wedle naszej wiedzy, prowadzone zgodnie z warunkami programu.

Wymagane jest, aby przed podjęciem działań, które mogą być niezgodne z niniejszą polityką lub nie być nią objęte, każdy badacz przesłał nam powiadomienie. Z miłą chęcią przyjmiemy sugestie dotyczące uściślenia niniejszej polityki, które pomogą badaczom w prowadzeniu badań i raportowaniu.

Nagrody

Wszelkie zgłoszenia do nagród są oceniane przez Krakena i nagradzane na podstawie oceny luki. Wszelkie płatności będą się odbywały w BTC na zweryfikowane konto Kraken; podane wartości są jedynie orientacyjne i mogą ulec zmianie.

  • Wszystkie raporty dotyczące błędów należy przesyłać na adres , który stanowi jedyną oficjalną metodę kontaktu w ramach tego programu. Nie używaj zewnętrznych stron do przesyłania szczegółowych informacji na temat luk w zabezpieczeniach. Wszelkie zewnętrzne strony lub portale są nieoficjalne i niezatwierdzone przez platformę Kraken.
  • Aby otrzymywać wypłaty z tytułu nagród za zgłaszanie błędów, musisz:
  • Prośba o zapłatę lub inne wynagrodzenie w zamian za szczegóły dotyczące luki poskutkuje natychmiastowym stwierdzeniem niekwalifikowania się do wypłaty nagrody. Nieujawnienie szczegółów dotyczących luki poskutkuje natychmiastowym stwierdzeniem niekwalifikowania się do wypłaty nagrody.
  • Podaj szczegółowe instrukcje dotyczące odtworzenia luki w zabezpieczeniach i model koncepcyjny. 
  • Twoje zgłoszenie nie będzie się kwalifikować do wypłaty, jeśli nie będziemy w stanie odtworzyć Twojego odkrycia. Wykorzystaj tylko to, co jest potrzebne do udowodnienia luki w zabezpieczeniach i niezwłocznie zwróć wszelkie aktywa, które udało Ci się pozyskać.
  • Ujawnienie luki w zabezpieczeniach innym osobom jest zabronione.
  • Każda próba ominięcia procedur opisanych w niniejszej polityce spowoduje natychmiastowe unieważnienie wypłaty nagród. 
  • Uwzględnij swój adres Bitcoin (BTC) do płatności. Wszystkie nagrody będą wypłacane w Bitcoinie.
  • Minimalne wartości dla płatności zostały określone poniżej. Każda wypłata może być zmodyfikowana wedle uznania Krakena'.
  • Minimalna wypłata w Bitcoinie (BTC)  to równowartość 500 USD.

Proces składania wniosku

Poniższe kroki są podejmowane, aby przetworzyć wniosek dotyczący nagrody za zgłoszenie błędu:

1. Raport został przesłany na skrzynkę pocztową nagród za zgłoszenie błędu

2. Zespół ds. bezpieczeństwa Kraken przyjmuje wniosek (1 dzień roboczy SLA)

3. Zespół ds. bezpieczeństwa Kraken testuje rozwiązanie (10 dni roboczych SLA)

4. Zespół ds. bezpieczeństwa Kraken wysyła odpowiedź z decyzją, czy problem zostanie uznany za lukę; powiadomienie zawiera poziom istotności i kwotę nagrody (poprosimy Cię o adres BTC)

5. W przypadku zagrożeń związanych z bezpieczeństwem Kraken wyśle nagrodę (14 dni roboczych SLA)

 

Skala wypłatDotkliwośćZakres
 Niska doktliwość500–1000 USD
 Średnia dotkliwość2500–5000 USD
 Wysoka dotkliwość20 000–50 000 USD
 Dotkliwość krytyczna100 000–1 500 000 USD

Statystyki dot. programu

  • 19 nagrodzonych zgłoszeń w ostatnim roku
  • 424 raporty przesłane w ostatnim roku
  • Średnio 2342 USD  wypłaty w zeszłym roku

Galeria sław

Poniżej wypisaliśmy niektórych z badaczy, którzy otrzymali wcześniej nagrody za pośrednictwem programu nagród za zgłaszanie błędów Krakena.

Galeria sławBadaczPrzyznana nagroda
Wprowadzeni do galeriiDevendra Hyalij – Twitter60 100 USD
 UGWST – Twitter40 000 USD
 Ocenzurowano*20 000 USD
 Ocenzurowano*20 000 USD
 Ocenzurowano*20 000 USD
 Ocenzurowano*18 000 USD
 Md Al Nafis Aqil Haque11 000 USD
 Ocenzurowano*10 000 USD
 Ocenzurowano*10 000 USD
 Ocenzurowano*10 000 USD
 
* Nazwisko badacza ocenzurowane na żądanie
 
Te informacje są aktualizowane co kwartał.

Oceny luk

Krytyczna

Problemy o dotkliwości krytycznej stanowią bezpośrednie i nieodsunięte w czasie ryzyko dla wielu naszych użytkowników lub nawet dla samego Krakena. Dotyczą one często relatywnie niskopoziomowych/podstawowych komponentów w naszych stackach i infrastrukturze aplikacji. Przykład:

  • samowolne wykonanie kodu/polecenia na serwerze znajdującym się w naszej sieci produkcyjnej.
  • samowolne zapytania do produkcyjnej bazy danych.
  • obchodzenia naszego procesu logowania, czy to za pośrednictwem hasła, czy 2FA.
  • uzyskiwanie dostępu do wrażliwych danych produkcyjnych użytkowników lub do wewnętrznych systemów produkcji.

 

High

Przypadki o wysokiej dotkliwości pozwalają oszustowi odczytywać lub modyfikować wysoce wrażliwe dane, do których nie ma prawa dostępu. Zazwyczaj ich zakres jest węższy niż ten problemów krytycznych, jednak w dalszym ciągu mogą dać oszustowi szeroki dostęp. Przykład:

  • XSS, który obchodzi CSP
  • Odkrycie wrażliwych danych użytkowników w przestrzeni wystawionej na dostęp publiczny
  • Uzyskanie dostępu do niekrytycznego systemu, do którego użytkownik końcowy nie powinien mieć dostępu

 

Średni

Przypadki o średniej dotkliwości pozwalają oszustowi odczytywać lub modyfikować ograniczone ilości danych, do których nie ma prawa dostępu. Zazwyczaj dają one dostęp do informacji mniej wrażliwych niż przy błędach o wysokiej dotkliwości. Przykład:

  • Ujawnienie mało wrażliwych informacji z systemu produkcyjnego, do których użytkownik nie powinien mieć dostępu
  • XSS, który nie obchodzi CSP ani nie uruchamia wrażliwych działań w sesji innego użytkownika
  • CSRF dla działań niskiego ryzyka

 

Low

Przypadki o niskiej dotkliwości pozwalają oszustowi na uzyskanie dostępu do mocno ograniczonych ilości danych. Mogą one być wbrew oczekiwaniom co do tego, jak coś ma działać, ale pozwalają na uzyskanie dostępu przy niemal zerowej eskalacji przywilejów lub umiejętności oszusta, by wywołać niezamierzone efekty. Przykład:

  • Uruchomienie pełnych lub debugowanych stron błędów bez dowodu na możliwość wykorzystania lub uzyskania poufnych informacji.

 

Co się nie kwalifikuje

Raporty, którymi nie jesteśmy zainteresowani i które nie kwalifikują się do nagrody, obejmują:

  • Luki stron hostowanych przez strony trzecie (support.kraken.com itd.), o ile nie prowadzą one do powstania słabości na stronie głównej. Luki i błędy na blogu Krakena (blog.kraken.com).
  • Luki zależne od ataków fizycznych, inżynierii społecznej, spamu, ataków DDOS itd.
  • Luki dotyczące przestarzałych lub niezaktualizowanych przeglądarek.
  • Luki w aplikacjach stron trzecich, które wykorzystują API Krakena.
  • Luki publicznie ujawnione w bibliotekach stron trzecich lub technologii wykorzystywanej w produktach, usługach lub infrastrukturze Krakena wcześniej niż na 30 dni przed publicznym ujawnieniem problemu.
  • Luki, które zostały ujawnione publicznie przed wydaniem przez Krakena kompleksowego rozwiązania.
  • Luki, o których już wiemy, lub już ujawnione przez kogoś innego (nagrodę dostaje ten, kto dokona zgłoszenia jako pierwszy).
  • Problemy, które nie są powtarzalne.
  • Luki, które wymagają nieprawdopodobnego poziomu interakcji z użytkownikiem.
  • Luki, które wymagają rootowania/jailbreakingu urządzenia mobilnego.
  • Brak nagłówków zabezpieczeń bez dowodu możliwości wykorzystania.
  • Oferty algorytmów szyfrujących TLS.
  • Sugestie co do dobrych praktyk.
  • Ujawnienie wersji oprogramowania.
  • Jakikolwiek raport bez szczegółowych instrukcji krok po kroku i dowodu na wykorzystanie modelu koncepcyjnego.
  • Problemy, z którymi nie można racjonalnie oczekiwać, że uda nam się cokolwiek zrobić, jak np. problemy dotyczące specyfikacji technicznych, które Kraken musi wdrożyć, aby zachować zgodność z tymi standardami.
  • Wyniki z automatycznych narzędzi/skanerów lub raportów wygenerowanych przez AI.
  • Problemy bez jakiegokolwiek wpływu na bezpieczeństwo.

 

Problemy niedotyczące bezpieczeństwa

O problemach niedotyczących bezpieczeństwa możesz nas informować za pośrednictwem strony https://support.kraken.com.