Kraken

Bug Bounty

Ganhe Bitcoins 
ao encontrar bugs

Programa de Bug Bounty

Embora nossa equipe de especialistas tenham se esforçado ao máximo para eliminar os bugs em nossos sistemas, sempre há a possibilidade de termos deixado passar algum que represente uma vulnerabilidade significativa. Se você descobrir um bug, agradecemos sua colaboração para investigar e relatar de maneira responsável, para que possamos corrigir o quanto antes. Para bugs relevantes, oferecemos uma recompensa e o reconhecimento em nosso Mural da Fama (abaixo).

 

Investigação e Comunicação Responsáveis 

Investigação e comunicação responsáveis incluem, entre outros fatores, os seguintes:

  • Não violar a privacidade de outros usuários, destruir dados ou interromper nossos serviços.
  • Apenas utilizar contas próprias no processo de investigação de bugs. Não utilizar, tentar acessar ou interferir nas contas de outros usuários.
  • Não atacar nossas medidas de segurança física ou tentar usar engenharia social, spam, ataques de negação de serviço (DDOS), etc.
  • Inicialmente, relatar o bug apenas para nós e mais ninguém.
  • Oferecer um tempo razoável para que possamos corrigir o bug antes de revelar para qualquer outra pessoa e enviar-nos uma advertência por escrito antes de revelar para qualquer outra pessoa.

Em geral, investigue e reporte os bugs com boa fé e adotando as medidas cabíveis para que não seja prejudicial para nós ou nossos usuários. Caso contrário, suas ações poderão ser interpretadas como um ataque em vez de um esforço para ser útil.

 

Elegibilidade

Em termos gerais, qualquer erro que apresente uma vulnerabilidade significativa, seja para a segurança do nosso site ou a integridade do nosso sistema de trading, pode ser elegível para uma recompensa. No entanto, fica inteiramente a nosso critério decidir se um bug é significativo o suficiente para ser elegível para uma recompensa.

Problemas de segurança que normalmente seriam elegíveis (embora não necessariamente em todos os casos) incluem:

  • Falsificação de solicitação entre sites (CSRF)
  • Cross-site Scripting (XSS)
  • Injeção de Código
  • Execução Remota de Código
  • Escalonamento de Privilégios
  • Ignorar a Verificação em Duas Etapas
  • Clickjacking
  • Vazamento de Dados Sensíveis

 

Inelegibilidade

Coisas que não são elegíveis para recompensa incluem:

  • Vulnerabilidades em sites hospedados por terceiros (support.kraken.com, etc.), a menos que resulte em uma vulnerabilidade no site principal.
  • Vulnerabilidades e bugs no blog da Kraken. (blog.kraken.com)
  • Vulnerabilidades que dependem de ataque físico, engenharia social, spam, ataque DDOS, etc.
  • Vulnerabilidades que afetam navegadores desatualizados ou sem correção.
  • Vulnerabilidades em aplicativos de terceiros que usam a API da Kraken.
  • Bugs que  não foram investigados ​​e reportados de maneira responsável.
  • Bugs já conhecidos por nós ou que já foram relatados por outra pessoa (a recompensa vai para o primeiro relator).
  • Problemas que não são reproduzíveis.
  • Problemas que não há nada razoável que podemos fazer para resolver.

 

Recompensa

  • A recompensa mínima para erros elegíveis é o equivalente a 100 USD em Bitcoins.
  • Recompensas acima do mínimo ficam a nosso critério, mas pagaremos muito mais por problemas particularmente sérios.
  • Apenas uma recompensa por bug.

 

Como reportar um bug

  • Envie seu relatório de bug para bugbounty@kraken.com.
  • Tente incluir o máximo de informação possível em seu relatório, incluindo uma descrição do bug, seu possível impacto e as etapas para reproduzi-lo ou prova de conceito.
  • Inclua seu nome e link conforme deseja que apareça em nosso Mural da Fama (opcional).
  • Inclua seu endereço de BTC para pagamento.
  • Aguarde 2 dias úteis para respondermos antes de enviar outro email.

 

Hall da Fama

As pessoas abaixo contribuíram para o programa:

Recompensas

All bounty submissions are rated by Kraken and paid out based on vulnerability rating. All payouts will proceed in BTC and are defined as a guideline and subject to change.

  • All bug reports must be submitted to bugbounty@kraken.com
  • Asking for payment in exchange for vulnerability details will result in immediate ineligibility of bounty payments. 
  • If we cannot reproduce your findings, your report will not be eligible for payout. We ask you to provide as detailed a report as possible with all steps necessary to reproduce your findings. 
  • Include your Bitcoin (BTC) Address for Payment. All rewards will be issued in Bitcoin.
  • The minimum payout is Bitcoin (BTC) equivalent of $500 USD.

Program Statistics

  • 39 reports rewarded in the last year
  • $805 average payout in the last year

Wall of Fame

See below some of the researchers who have been previously rewarded through Kraken's Bug Bounty program.

Wall of FameResearcherAmount Rewarded
InducteesSunil Yeda - Twitter$6,400
 Gal Nagli - Twitter, LinkedIn$3,500
 Ranjeet Kumar Singh - Twitter, LinkedIn$2,900
This information is updated monthly.

Vulnerability Ratings

Critical

Critical severity issues present a direct and immediate risk to a broad array of our users or to Kraken itself. They often affect relatively low-level /foundational components in one of our application stacks or infrastructure. For example:

  • arbitrary code/command execution on a server in our production network.
  • arbitrary queries on a production database.
  • bypassing our sign-in process, either password or 2FA.
  • access to sensitive production user data or access to internal production systems.

 

High

High severity issues allow an attacker to read or modify highly sensitive data that they are not authorized to access. They are generally more narrow in scope than critical issues, though they may still grant an attacker extensive access. For example:

  • XSS which bypasses CSP
  • Discovering sensitive user data in a publicly exposed resource
  • Gaining access to a non-critical, system to which an end user account should not have access

 

Medium

Medium severity issues allow an attacker to read or modify limited amounts of data that they are not authorized to access. They generally grant access to less sensitive information than high severity issues. For example:

  • Disclosing non-sensitive information from a production system to which the user should not have access
  • XSS that does not bypass CSP or does not execute sensitive actions in another user’s session
  • CSRF for low risk actions

 

Low

Low severity issues allow an attacker to access extremely limited amounts of data. They may violate an expectation for how something is intended to work, but it allows nearly no escalation of privilege or ability to trigger unintended behavior by an attacker. For example:

  • Triggering verbose or debug error pages without proof of exploitability or obtaining sensitive information.

 

Ineligibility

Reports in which we are not interested include:

  • Vulnerabilities on sites hosted by third parties (support.kraken.com, etc) unless they lead to a vulnerability on the main website. Vulnerabilities and bugs on the Kraken blog (blog.kraken.com)
  • Vulnerabilities contingent on physical attack, social engineering, spamming, DDOS attack, etc.
  • Vulnerabilities affecting outdated or unpatched browsers.
  • Vulnerabilities in third party applications that make use of Kraken's API.
  • Vulnerabilities that have not been responsibly investigated and reported.
  • Vulnerabilities already known to us, or already reported by someone else (reward goes to first reporter). Issues that aren't reproducible.
  • Vulnerabilities that require an improbable level of user interaction.
  • Vulnerabilities that require root/jailbreak on mobile.
  • Missing security headers without proof of exploitability.
  • TLS Cipher Suites offered.
  • Suggestions on best practices.
  • Software version disclosure.
  • Any report without an accompanying proof of concept exploit.
  • Issues that we can't reasonably be expected to do anything about.
  • The output from automated tools/scanners.
  • Issues without any security impact.

 

Non-security Issues

You can let us know about non-security issues at https://support.kraken.com.