Bug Bounty

Obtenha Bitcoin 
para encontrar bugs de segurança

Bug Bounty

Obtenha Bitcoin 
para encontrar bugs de segurança

Sobre

Fundada em 2011, a Kraken Digital Asset Exchange é uma das maiores e mais antigas exchanges de Bitcoins do mundo com a mais ampla seleção de ativos digitais e moedas nacionais. Sediada em São Francisco e com escritórios em todo o mundo, a plataforma de negociação da Kraken é consistentemente classificada como a melhor e mais segura exchange de ativos digitais por meios de notícias independentes. Com a confiança de centenas de milhares de investidores, instituições e autoridades, incluindo o Fidor Bank regulado pelo BaFin da Alemanha, a Kraken é a primeira exchange a exibir seus dados de mercado no Terminal Bloomberg, passar uma auditoria criptograficamente verificável de prova de reservas e a primeira a oferecer negociação spot com margem. Os investidores da Kraken incluem Blockchain Capital, Digital Currency Group, Hummingbird Ventures e Money Partners Group.

Visão geral do programa Bug Bounty

  • A Kraken encoraja a divulgação responsável de vulnerabilidades de segurança através do nosso programa Bug Bounty.
  • Os pesquisadores devem seguir a política escrita. Essa política não é negociável.
  • Regras principais:
    • Aja de boa-fé e evite violações de políticas.
    • Não faça mais do que o necessário para provar uma vulnerabilidade. 
    • Não faça ameaças ou demandas de resgate.
    • Relate vulnerabilidades, incluindo instruções e exploração de prova de conceito, assim que forem descobertas e validadas.
  • Os pesquisadores são responsáveis pelo cumprimento de todas as leis aplicáveis.
  • Tentativas de subverter ou violar nossa política resultarão em inelegibilidade imediata para este programa. Ameaças ou tentativas de extorsão podem ser encaminhadas às autoridades policiais.
  • Se você não tiver certeza sobre algo, notifique [email protected] para esclarecimentos.

Política

A Kraken acredita fortemente no valor dos profissionais e desenvolvedores de segurança que ajudam a manter nossos produtos e usuários seguros. A Kraken estabeleceu e incentiva a divulgação coordenada de vulnerabilidades (CVD) por meio do nosso Programa Bug Bounty. O programa Bug Bounty atende à missão da Kraken ajudando a proteger os clientes no mercado de moeda digital.

Ao procurar bugs nos sistemas da Kraken, você concorda em manter todos os dados, informações sobre vulnerabilidades, sua pesquisa e comunicações com a Kraken estritamente confidenciais até que a Kraken resolva o problema e conceda permissão para divulgação. 

Quando os requisitos desta Política forem cumpridos. a Kraken concorda em não iniciar uma ação legal para a pesquisa de segurança realizada após todas as políticas da Kraken Bug Bounty publicadas, incluindo violações acidentais de boa fé. 

Evite violações deliberadas de privacidade criando contas de teste sempre que possível. Se você encontrar informações de identificação pessoal (‘PII’) ou outros dados confidenciais para contas que você não tem consentimento expresso do proprietário da conta por escrito para validar suas descobertas, pare de acessar esses dados imediatamente e comunique o problema à Kraken com uma descrição dos dados confidenciais, não com os dados em si.

De acordo com as normas de proteção de dados e nossas políticas de privacidade, você deve:

  • Não armazenar ou transmitir PII de outros clientes. Se você capturar qualquer PII de cliente, informe a Kraken imediatamente e destrua todas as cópias de PII que não sejam suas. 
  • Minimize a coleta e o acesso aos dados durante sua pesquisa. Colete e retenha somente as informações absolutamente necessárias para demonstrar e relatar a vulnerabilidade. 
  • Exclua imediatamente e com segurança todos os dados coletados depois que o relatório for enviado e a Kraken confirmar que o recebeu.
  • Não divulgar quaisquer vulnerabilidades ou informações associadas a terceiros sem o consentimento expresso por escrito da Kraken. Isso inclui, mas não se limita a, mídias sociais, outras empresas ou a imprensa.
  • Se você estiver comunicando uma violação de dados ou o local de um repositório de dados em vez de uma vulnerabilidade de segurança, forneça o local dos dados e não os acesse mais, nem compartilhe o local dos dados com outras pessoas.

Um envio de bug bounty nunca pode conter ameaças ou qualquer tentativa de extorsão. Estamos abertos a pagar recompensas por achados legítimos, no entanto, as demandas de resgate não são elegíveis para pagamento. Por exemplo, não liberar informações sobre a vulnerabilidade ou impedir a capacidade de resolver a vulnerabilidade até que outras demandas sejam atendidas será considerado uma demanda de resgate. Podemos ser obrigados por lei ou decidir voluntariamente relatar a autoridades qualquer envio de bug bounty que contenha demandas de resgate. 

Acreditamos que as atividades conduzidas de acordo com esta política constituem uma conduta “autorizada” de acordo com a Lei de Fraude e Abuso de Computador (CFAA), a Lei de Direitos Autorais do Milênio Digital (DMCA) e as leis aplicáveis contra hackers, como o Código Penal da Califórnia, seção 503(c). Não faremos qualquer reivindicação contra os pesquisadores por burlar as medidas tecnológicas que usamos para proteger as aplicações no âmbito do Programa Bug Bounty. No entanto, seguir esta política não significa que a Kraken, nem qualquer outra organização individual ou governo, pode conceder imunidade de leis globais. É responsabilidade dos pesquisadores de segurança individual entender e cumprir todas as leis locais e internacionais aplicáveis em relação a controles de combate a hackers, de dados e privacidade e de exportação. Se um terceiro mover uma ação legal contra você e você estiver seguindo os termos desta política, a Kraken informará aos órgãos de aplicação da lei pertinentes ou aos autores de ações civis que suas atividades de pesquisa foram, ao melhor de nossos conhecimentos, conduzidas de acordo com, e em conformidade com os termos e condições deste programa.

É necessário que cada pesquisador nos envie uma notificação antes de se envolver em uma conduta que possa ser inconsistente ou não abordada por esta política. Agradecemos as sugestões para esclarecimentos de políticas que ajudem os investigadores a conduzir a sua investigação e relatórios com confiança.

Recompensas

Todos os envios de recompensa são classificados pela Kraken e pagos com base na classificação de vulnerabilidade. Todos os pagamentos ocorrerão em BTC para sua conta Kraken verificada, são definidos como uma diretriz e estão sujeitos a alterações.

  • Todos os relatos de bugs devem ser enviados para , o único contato oficial para esse programa. Não use sites externos para enviar detalhes de vulnerabilidade. Quaisquer sites ou portais externos não são oficiais e não são aprovados pela Kraken.
  • Para receber pagamentos de recompensas por bugs, você deve:
  • Solicitar pagamento ou outra forma de reconhecimento em troca de detalhes de vulnerabilidade resultará na inelegibilidade imediata dos pagamentos de recompensa. A não divulgação dos detalhes da vulnerabilidade também resultará na inelegibilidade imediata dos pagamentos de recompensas.
  • Forneça instruções detalhadas para reproduzir a vulnerabilidade e uma prova de conceito. 
  • Se não for possível reproduzir suas descobertas, seu relatório não será elegível para pagamento. Explore apenas o que for necessário para provar uma vulnerabilidade de segurança e devolva imediatamente todos os ativos que foram extraídos.
  • É proibido divulgar a vulnerabilidade a outras pessoas.
  • Qualquer tentativa de contornar os procedimentos descritos nesta política resultará na inelegibilidade imediata dos pagamentos de recompensas. 
  • Inclua seu endereço Bitcoin (BTC) para pagamento. Todas as recompensas serão atribuídas em Bitcoin.
  • Os pagamentos mínimos são definidos abaixo. Todos os pagamentos podem ser' modificados a critério da Kraken.
  • O pagamento mínimo é de US$ 500 equivalentes em Bitcoin (BTC) .

Processo de envio

As seguintes etapas são realizadas para processar um envio de Bug Bounty:

1. O relatório é enviado para a caixa de correio de bug bounty

2. A segurança da Kraken confirma o envio (SLA de 1 dia útil)

3. A segurança da Kraken faz a triagem do envio (SLA de 10 dias úteis)

4. A segurança da Kraken envia uma resposta com determinação; se for considerada uma vulnerabilidade, a notificação inclui o nível de gravidade e o valor de recompensa (solicitaremos um endereço de BTC)

5. Para vulnerabilidades de segurança, a Kraken enviará a recompensa (SLA de 14 dias úteis)

 

Escala de pagamentoGravidadeIntervalo
 Baixa gravidadeUS$ $500 - US$ 1.000
 Gravidade médiaUS$ 2.500 - US$ 5.000
 Gravidade altaUS$ 20.000 - US$ 50.000
 Gravidade críticaUS$ 100.000 - US$ 1.500,000

Estatísticas do programa

  • 19 relatórios recompensados no ano passado
  • 424 relatórios enviados no ano passado
  • Pagamento médio de US$ 2.342  no ano passado

Wall of Fame

Veja abaixo alguns dos pesquisadores que foram anteriormente recompensados pelo programa Bug Bounty da Kraken.

Wall of FamePesquisadorValor recompensado
IndutoresDevendra Hyalij - TwitterUS$ 60.100
 UGWST - Twitter40.000
 Eliminado*US$ 20.000
 Eliminado*USD 20.000
 Eliminado*USD 20.000
 Eliminado*US$ 18.000
 Md Al Nafis Aqil HaqueUS$ 11.000
 Eliminado*US$ 10.000
 Eliminado*US$ 10.000
 Eliminado*US$ 10.000
 
*Nome do pesquisador omitido mediante solicitação
 
Essas informações são atualizadas trimestralmente.

Classificações de vulnerabilidade

Crítica

Problemas de gravidade crítica apresentam um risco direto e imediato para uma ampla gama de nossos usuários ou para a própria Kraken. Elas geralmente afetam componentes de nível relativamente baixo/básicos em uma de nossas pilhas ou infraestrutura de aplicativos. Por exemplo:

  • execução arbitrária de código/comando em um servidor em nossa rede de produção.
  • consultas arbitrárias em um banco de dados de produção.
  • contornar nosso processo de login, seja por senha ou por 2FA.
  • acesso a dados confidenciais do usuário de produção ou acesso a sistemas internos de produção.

 

Alto

Problemas de gravidade alta permitem que um invasor leia ou modifique dados altamente confidenciais que não estão autorizados a acessar. Em geral, eles têm um escopo mais restrito do que os problemas críticos, embora ainda possam conceder a um invasor acesso amplo. Por exemplo:

  • XSS que contorna o CSP
  • Descoberta de dados confidenciais do usuário em um recurso exposto publicamente
  • Obtenção de acesso a um sistema não crítico ao qual uma conta de usuário final não deve ter acesso

 

Média

Problemas de gravidade média permitem que um invasor leia ou modifique quantidades limitadas de dados que não estão autorizados a acessar. Em geral, eles concedem acesso a informações menos confidenciais do que problemas de gravidade alta. Por exemplo:

  • Divulgação de informações não confidenciais de um sistema de produção ao qual o usuário não deve ter acesso
  • XSS que não contorna o CSP ou não executa ações confidenciais na sessão de outro usuário
  • CSRF para ações de baixo risco

 

Baixo

Problemas de gravidade baixa permitem que um invasor acesse quantidades extremamente limitadas de dados. Eles podem violar a expectativa de como algo deve funcionar, mas não permite praticamente nenhum escalonamento de privilégio ou capacidade de acionar comportamento não intencional por um invasor. Por exemplo:

  • Acionamento de páginas de erro detalhadas ou de depuração sem prova de exploração ou obtenção de informações confidenciais.

 

Inelegibilidade

Os relatos nos quais não temos interesse e não são elegíveis para recompensa incluem:

  • Vulnerabilidades em sites hospedados por terceiros (support.kraken.com etc.), a menos que eles levem a uma vulnerabilidade no site principal. Vulnerabilidades e bugs no blog Kraken (blog.kraken.com).
  • Vulnerabilidades dependentes de ataque físico, engenharia social, spam, ataque DDOS etc.
  • Vulnerabilidades que afetam navegadores desatualizados ou sem patches.
  • Vulnerabilidades em aplicativos de terceiros que usam a API da Kraken.
  • Vulnerabilidades divulgadas publicamente em bibliotecas de terceiros ou tecnologia usada em produtos, serviços ou infraestrutura da Kraken antes de 30 dias após a divulgação pública do problema.
  • Vulnerabilidades lançadas publicamente antes de a Kraken emitir uma correção abrangente.
  • Vulnerabilidades já conhecidas por nós ou já relatadas por outra pessoa (a recompensa vai para o primeiro a divulgar).
  • Problemas que não podem ser reproduzidos.
  • Vulnerabilidades que exigem um nível improvável de interação do usuário.
  • Vulnerabilidades que exigem root/jailbreak em dispositivos móveis.
  • Cabeçalhos de segurança ausentes sem prova de exploração.
  • Pacotes de cifras TLS oferecidos.
  • Sugestões sobre práticas recomendadas.
  • Divulgação de versão do software.
  • Qualquer relato sem instruções detalhadas passo a passo e uma exploração de prova de conceito que o acompanhe.
  • Problemas sobre os quais razoavelmente não pode-se esperar que façamos nada sobre, como problemas em especificações técnicas que a Kraken deve implementar para estar em conformidade com esses padrões.
  • A saída de ferramentas/scanners automatizados ou relatos gerados por IA.
  • Problemas sem nenhum impacto na segurança.

 

Problemas não relacionados à segurança

Você pode nos informar sobre problemas não relacionados à segurança em https://support.kraken.com.