Obtenha Bitcoin 
para encontrar bugs de segurança

Fundada em 2011, a Kraken Digital Asset Exchange é uma das maiores e mais antigas exchanges de Bitcoins do mundo com a mais ampla seleção de ativos digitais e moedas nacionais. Sediada em São Francisco e com escritórios em todo o mundo, a plataforma de negociação da Kraken é consistentemente classificada como a melhor e mais segura exchange de ativos digitais por meios de notícias independentes. Com a confiança de centenas de milhares de investidores, instituições e autoridades, incluindo o Fidor Bank regulado pelo BaFin da Alemanha, a Kraken é a primeira exchange a exibir seus dados de mercado no Terminal Bloomberg, passar uma auditoria criptograficamente verificável de prova de reservas e a primeira a oferecer negociação spot com margem. Os investidores da Kraken incluem Blockchain Capital, Digital Currency Group, Hummingbird Ventures e Money Partners Group.

A Kraken acredita fortemente no valor dos profissionais e desenvolvedores de segurança que ajudam a manter nossos produtos e usuários seguros. A Kraken estabeleceu e incentiva a divulgação coordenada de vulnerabilidades (CVD) por meio do nosso Programa Bug Bounty. O programa Bug Bounty atende à missão da Kraken ajudando a proteger os clientes no mercado de moeda digital.

A Kraken concorda em não iniciar uma ação legal para a pesquisa de segurança realizada após todas as políticas da Kraken Bug Bounty publicadas, incluindo violações acidentais de boa fé. Evite violações deliberadas de privacidade criando contas de teste sempre que possível. Se você encontrar informações de identificação pessoal ou outros dados confidenciais para contas que você não tem consentimento expresso do proprietário da conta por escrito para validar suas descobertas, pare de acessar esses dados imediatamente e comunique o problema à Kraken com uma descrição dos dados, não com os dados em si. Não armazene nem transmita dados de outros usuários e destrua todas as cópias de dados que não sejam suas que você tenha capturado acidentalmente ou deliberadamente durante a pesquisa. Se você estiver comunicando uma violação de dados ou o local de um repositório de dados em vez de uma vulnerabilidade de segurança, forneça o local dos dados e não os acesse mais, nem compartilhe o local dos dados com outras pessoas.

Acreditamos que as atividades conduzidas de acordo com esta política constituem uma conduta "autorizada" de acordo com a Lei de Fraude e Abuso de Computador (CFAA), a Lei de Direitos Autorais do Milênio Digital (DMCA) e as leis aplicáveis contra hackers, como a Cal. Código Penal 503(c). Não faremos qualquer reivindicação contra os pesquisadores por burlar as medidas tecnológicas que usamos para proteger as aplicações no âmbito do Programa Bug Bounty. No entanto, seguir esta política não significa que a Kraken, nem qualquer outra organização individual ou governo, pode conceder imunidade de leis globais. É responsabilidade dos pesquisadores de segurança individual entender e cumprir todas as leis locais e internacionais aplicáveis em relação a controles de combate a hackers, de dados e privacidade e de exportação. Se um terceiro mover uma ação legal contra você e você estiver seguindo os termos desta política, a Kraken informará aos órgãos de aplicação da lei pertinentes ou aos autores de ações civis que suas atividades de pesquisa foram, ao melhor de nossos conhecimentos, conduzidas de acordo com, e em conformidade com os termos e condições deste programa. 

É necessário que cada pesquisador nos envie uma notificação antes de se envolver em uma conduta que possa ser inconsistente ou não abordada por esta política. Agradecemos as sugestões para esclarecimentos de políticas que ajudem os investigadores a conduzir a sua investigação e relatórios com confiança.

Todos os envios de recompensa são classificados pela Kraken e pagos com base na classificação de vulnerabilidade. Todos os pagamentos ocorrerão em BTC, serão definidos como uma diretriz e estão sujeitos a alterações.

• Todos os relatórios de bugs devem ser enviados para [email protected]
• Para receber pagamentos do bug bounty, você deve se registrar no nível Intermediário e fornecer documentação para verificação. Consulte também: https://support.kraken.com/hc/en-us/articles/360000672203-Document-requirements-for-verification
• Solicitar pagamento em troca de detalhes de vulnerabilidade resultará na inelegibilidade imediata dos pagamentos de recompensa. 
• Se não for possível reproduzir suas descobertas, seu relatório não será elegível para pagamento. Pedimos que você forneça um relatório o mais detalhado possível com todas as etapas necessárias para reproduzir suas constatações. 
• Inclua seu endereço Bitcoin (BTC) para pagamento. Todas as recompensas serão atribuídas em Bitcoin.
• Os pagamentos mínimos são definidos abaixo. Todos os pagamentos podem ser modificados a critério da Kraken.
• O pagamento mínimo é de US$ 500 equivalentes em Bitcoin (BTC) .

Atualização de recompensas:

A partir de 1° de junho de 2022, todos os pesquisadores devem criar e ter uma Conta Kraken ATIVA, que seja verificada no nível Intermediário, para facilitar todos os pagamentos de recompensas. 

Níveis de verificação: https://support.kraken.com/hc/en-us/articles/360001395743-Verification-levels-explained

Crie uma conta: https://www.kraken.com/sign-up

• 84 relatórios recompensados no ano passado
• 1.127 relatórios enviados no ano passado
• Pagamento médio de US$ 998 no ano passado

Veja abaixo alguns dos pesquisadores que foram anteriormente recompensados pelo programa Bug Bounty da Kraken.

Crítica

Problemas de gravidade crítica apresentam um risco direto e imediato para uma ampla gama de nossos usuários ou para a própria Kraken. Elas geralmente afetam componentes de nível relativamente baixo/básicos em uma de nossas pilhas ou infraestrutura de aplicativos. Por exemplo:

• execução arbitrária de código/comando em um servidor em nossa rede de produção.
• consultas arbitrárias em um banco de dados de produção.
• contornar nosso processo de login, seja por senha ou por 2FA.
• acesso a dados confidenciais do usuário de produção ou acesso a sistemas internos de produção.

Alta

Problemas de gravidade alta permitem que um invasor leia ou modifique dados altamente confidenciais que não estão autorizados a acessar. Em geral, eles têm um escopo mais restrito do que os problemas críticos, embora ainda possam conceder a um invasor acesso amplo. Por exemplo:

• XSS que contorna o CSP
• Descoberta de dados confidenciais do usuário em um recurso exposto publicamente
• Obtenção de acesso a um sistema não crítico ao qual uma conta de usuário final não deve ter acesso

Média

Problemas de gravidade média permitem que um invasor leia ou modifique quantidades limitadas de dados que não estão autorizados a acessar. Em geral, eles concedem acesso a informações menos confidenciais do que problemas de gravidade alta. Por exemplo:

• Divulgação de informações não confidenciais de um sistema de produção ao qual o usuário não deve ter acesso
• XSS que não contorna o CSP ou não executa ações confidenciais na sessão de outro usuário
• CSRF para ações de baixo risco

Baixa

Problemas de gravidade baixa permitem que um invasor acesse quantidades extremamente limitadas de dados. Eles podem violar a expectativa de como algo deve funcionar, mas não permite praticamente nenhum escalonamento de privilégio ou capacidade de acionar comportamento não intencional por um invasor. Por exemplo:

• Acionamento de páginas de erro detalhadas ou de depuração sem prova de exploração ou obtenção de informações confidenciais.

Inelegibilidade

Os relatórios nos quais não estamos interessados incluem:

• Vulnerabilidades em sites hospedados por terceiros (support.kraken.com etc.), a menos que eles levem a uma vulnerabilidade no site principal. Vulnerabilidades e bugs no blog Kraken (blog.kraken.com)
• Vulnerabilidades dependentes de ataque físico, engenharia social, spam, ataque DDOS etc.
• Vulnerabilidades que afetam navegadores desatualizados ou sem patches.
• Vulnerabilidades em aplicativos de terceiros que usam a API da Kraken.
• Vulnerabilidades divulgadas publicamente em bibliotecas de terceiros ou tecnologia usada em produtos, serviços ou infraestrutura da Kraken antes de 30 dias após a divulgação pública do problema.
• Vulnerabilidades lançadas publicamente antes de a Kraken emitir uma correção abrangente.
• Vulnerabilidades já conhecidas por nós ou já relatadas por outra pessoa (a recompensa vai para o primeiro a divulgar). Problemas que não podem ser reproduzidos.
• Vulnerabilidades que exigem um nível improvável de interação do usuário.
• Vulnerabilidades que exigem root/jailbreak em dispositivos móveis.
• Cabeçalhos de segurança ausentes sem prova de exploração.
• Pacotes de cifras TLS oferecidos.
• Sugestões sobre práticas recomendadas.
• Divulgação de versão do software.
• Qualquer relatório sem uma exploração de prova de conceito associada.
• Problemas sobre os quais não podemos esperar fazer nada razoavelmente, como problemas em especificações técnicas que a Kraken deve implementar para estar em conformidade com esses padrões.
• A saída de ferramentas/scanners automatizados.
• Problemas sem nenhum impacto na segurança.

Problemas não relacionados à segurança

Você pode nos informar sobre problemas não relacionados à segurança em https://support.kraken.com.