Bug Bounty

Получите Bitcoin 
за найденные ошибки

Bug Bounty

Get Bitcoin 
for finding security bugs

Bug Bounty

Наша команда экспертов приложила все усилия, чтобы устранить все ошибки в наших системах. Но всегда есть шанс, что мы могли упустить уязвимые моменты. Сообщите нам о найденой ошибке для ее скорейшего устранения. Благодарим Вас за сотрудничество в ответственном расследовании и уведомлении. За нахождение значительной ошибки мы предлагаем вознаграждение и признание на нашей Стене Славы (далее).

 

Ответственное расследование и уведомление 

Ответственное расследование и уведомление включают в себя, помимо прочего:

  • Не нарушайте конфиденциальность других пользователей, не уничтожайте данные, не нарушайте работу наших служб и т.д.
  • Работайте только с Вашими собственными аккаунтами в процессе расследования ошибки. Не пытайтесь получить доступ или иным образом нарушить безопасность аккаунтов других пользователей.
  • Не испытывайте наши меры физической безопасности и не пытайтесь использовать социальную инженерию, спам, DDOS атаки и т. д.
  • Изначально сообщайте об ошибке только нам, а не кому-либо еще.
  • Дайте нам достаточно времени для исправления ошибки, прежде чем раскрывать ее кому-либо еще, и дайте нам соответствующее письменное уведомление, прежде чем раскрывать ее кому-либо еще.

Другими словами, пожалуйста, сообщайте нам об ошибках таким образом, чтобы прилагать разумные, добросовестные усилия, чтобы не причинять вреда нам или нашим пользователям. В противном случае Ваши действия могут быть истолкованы как атака, а не как попытка помочь.

 

Приемлемость

В целом, нахождение любой ошибки, которая представляет значительную уязвимость либо для безопасности нашего сайта, либо для целостности нашей торговой системы, может заслуживать вознаграждения. Мы оставляем за собой право решать, является ли ошибка существенной для вознаграждения.

Приемлемые вопросы безопасности (хотя не во всех случаях), включают:

  • Подделка межсайтовых запросов / Cross-Site Request Forgery (CSRF)
  • Межсайтовый скриптинг / Cross-Site Scripting (XSS)
  • Внедрение кода
  • Удаленное выполнение кода
  • Повышение допусков
  • Обход аутентификации
  • Кликджекинг, интерфейсная атака
  • Утечка конфиденциальных данных

 

Отсутствие правомочности

Не дают права на вознаграждение:

  • Уязвимости сайтов на хостинге третьих сторон (таких как support.kraken.com и т. д.), если они не приводят к уязвимости на основном веб-сайте.
  • Уязвимости и ошибки в блоге Kraken (blog.kraken.com)
  • Такие уязвимости, как физическая атака, социальный инженериниг, спам, DDOS-атаки и т. Д.
  • Уязвимости, влияющие на устаревшие или неисправные браузеры.
  • Уязвимости в приложениях третьих сторон, использующих API Kraken.
  • Ошибки, не расследованы и/или сообщены должным образом.
  • Ошибки, которые нам уже известны или которые нам были сообщены ранее (вознаграждение достается первому сообщившему).
  • Проблемы, которые невозможно воспроизвести.
  • Проблемы, решение которых не представляется возможным.

 

Вознаграждение

  • Минимальное вознаграждение за найденные ошибки составляет 100 USD в Bitcoin
  • Оставляем за собой право увеличить размер вознаграждения, особенно при обнаружении серьезной проблемы.
  • Одноразовое вознаграждение за найденную ошибку.

 

Как сообщить об ошибке

  • Отправьте отчет об ошибке на [email protected].
  • Постарайтесь включить в отчет как можно больше информации, включая описание ошибки, потенциальный ущерб, и шаги по ее воспроизведению или подтверждение концепции.
  • Укажите Ваше имя и как Вас представить на нашей Стене славы
  • Включите Ваш адрес BTC для оплаты.
  • Перед отправкой повторного письма, пожалуйста, подождите ответа 2 рабочих дня.

 

Bug Bounty Program Overview

  • Kraken encourages responsible disclosure of security vulnerabilities through our Bug Bounty program.
  • Researchers must follow the written policy. This policy is not negotiable.
  • Key rules:
    • Act in good faith and avoid policy violations.
    • Don’t do more than needed to prove a vulnerability. 
    • Don’t make threats or ransom demands.
    • Report vulnerabilities, including instructions and proof of concept exploit, as soon as discovered and validated.
  • Researchers are responsible for complying with all applicable laws.
  • Attempts to subvert or violate our policy will result in immediate ineligibility for this program. Threats or extortion attempts may be referred to law enforcement.
  • If you’re unsure about something, notify [email protected] for clarification.

Стена Славы

The people below have all contributed to the program:

Rewards

All bounty submissions are rated by Kraken and paid out based on vulnerability rating. All payouts will proceed in BTC to your verified Kraken Account and are defined as a guideline and subject to change.

  • All bug reports must be submitted to , the only official contact for this program. Please do not use external sites to submit vulnerability details. Any external sites or portals are unofficial and are not approved by Kraken.
  • To receive bug bounty payments, you must:
  • Asking for payment or other acknowledgment in exchange for vulnerability details will result in immediate ineligibility of bounty payments. Not releasing vulnerability details will also result in immediate ineligibility of bounty payments.
  • Provide detailed instructions to reproduce the vulnerability and a Proof of Concept. 
  • If we cannot reproduce your findings, your report will not be eligible for payout. Exploit only what is needed to prove a security vulnerability and promptly return any assets that have been extracted.
  • Disclosing vulnerability to other individuals is prohibited.
  • Any attempt to bypass the procedures outlined in this policy will result in immediate ineligibility of bounty payments. 
  • Include your Bitcoin (BTC) Address for Payment. All rewards will be issued in Bitcoin.
  • Payment minimums are defined below. All payments may be modified at Kraken's discretion.
  • The minimum payout is Bitcoin (BTC)  equivalent of $500 USD.

Submission Process

The following steps are taken to process a Bug Bounty submission:

1. Report is submitted to bug bounty mailbox

2. Kraken security acknowledges submission (SLA 1 Business Day)

3. Kraken security triages the submission (SLA 10 Business Days)

4. Kraken security sends response with determination, if deemed a vulnerability, notification includes severity level and amount of reward (we will ask for a BTC address)

5. For security vulnerabilities, Kraken will send the reward (SLA 14 Business Days)

 

Payout ScaleSeverityRange
 Low Severity$500-$1000
 Medium Severity$2500-$5000
 High Severity$20,000-$50,000
 Critical Severity$100,000-$1,500,000

Program Statistics

  • 19 reports rewarded in the last year
  • 424 reports submitted in the last year
  • $2342 average payout in the last year

Wall of Fame

See below some of the researchers who have been previously rewarded through Kraken's Bug Bounty program.

Wall of FameResearcherAmount Rewarded
InducteesDevendra Hyalij - Twitter$60,100
 UGWST - Twitter$40,000
 Redacted*$20.000
 Redacted*$20,000
 Redacted*$20,000
 Redacted*$18,000
 Md Al Nafis Aqil Haque$11,000
 Redacted*$10,000
 Redacted*$10,000
 Redacted*$10,000
 
*Researcher name withheld by request
 
This information is updated quarterly.

Vulnerability Ratings

Critical

Critical severity issues present a direct and immediate risk to a broad array of our users or to Kraken itself. They often affect relatively low-level /foundational components in one of our application stacks or infrastructure. For example:

  • arbitrary code/command execution on a server in our production network.
  • arbitrary queries on a production database.
  • bypassing our sign-in process, either password or 2FA.
  • access to sensitive production user data or access to internal production systems.

 

High

High severity issues allow an attacker to read or modify highly sensitive data that they are not authorized to access. They are generally more narrow in scope than critical issues, though they may still grant an attacker extensive access. For example:

  • XSS which bypasses CSP
  • Discovering sensitive user data in a publicly exposed resource
  • Gaining access to a non-critical, system to which an end user account should not have access

 

Medium

Medium severity issues allow an attacker to read or modify limited amounts of data that they are not authorized to access. They generally grant access to less sensitive information than high severity issues. For example:

  • Disclosing non-sensitive information from a production system to which the user should not have access
  • XSS that does not bypass CSP or does not execute sensitive actions in another user’s session
  • CSRF for low risk actions

 

Low

Low severity issues allow an attacker to access extremely limited amounts of data. They may violate an expectation for how something is intended to work, but it allows nearly no escalation of privilege or ability to trigger unintended behavior by an attacker. For example:

  • Triggering verbose or debug error pages without proof of exploitability or obtaining sensitive information.

 

Ineligibility

Reports in which we are not interested and are not eligible for reward include:

  • Vulnerabilities on sites hosted by third parties (support.kraken.com, etc) unless they lead to a vulnerability on the main website. Vulnerabilities and bugs on the Kraken blog (blog.kraken.com).
  • Vulnerabilities contingent on physical attack, social engineering, spamming, DDOS attack, etc.
  • Vulnerabilities affecting outdated or unpatched browsers.
  • Vulnerabilities in third party applications that make use of Kraken's API.
  • Vulnerabilities publicly disclosed in third party libraries or technology used in Kraken products, services, or infrastructure earlier than 30 days after the public disclosure of the issue.
  • Vulnerabilities that have been released publicly prior to Kraken issuing a comprehensive fix.
  • Vulnerabilities already known to us, or already reported by someone else (reward goes to first reporter).
  • Issues that aren't reproducible.
  • Vulnerabilities that require an improbable level of user interaction.
  • Vulnerabilities that require root/jailbreak on mobile.
  • Missing security headers without proof of exploitability.
  • TLS Cipher Suites offered.
  • Suggestions on best practices.
  • Software version disclosure.
  • Any report without detailed step-by-step instructions and an accompanying proof of concept exploit.
  • Issues that we can't reasonably be expected to do anything about, such as issues in technical specifications that Kraken must implement to conform to those standards.
  • The output from automated tools/scanners or AI-generated reports.
  • Issues without any security impact.

 

Non-security Issues

You can let us know about non-security issues at https://support.kraken.com.