Bug Bounty
Наша команда экспертов приложила все усилия, чтобы устранить все ошибки в наших системах. Но всегда есть шанс, что мы могли упустить уязвимые моменты. Сообщите нам о найденой ошибке для ее скорейшего устранения. Благодарим Вас за сотрудничество в ответственном расследовании и уведомлении. За нахождение значительной ошибки мы предлагаем вознаграждение и признание на нашей Стене Славы (далее).
Ответственное расследование и уведомление
Ответственное расследование и уведомление включают в себя, помимо прочего:
- Не нарушайте конфиденциальность других пользователей, не уничтожайте данные, не нарушайте работу наших служб и т.д.
- Работайте только с Вашими собственными аккаунтами в процессе расследования ошибки. Не пытайтесь получить доступ или иным образом нарушить безопасность аккаунтов других пользователей.
- Не испытывайте наши меры физической безопасности и не пытайтесь использовать социальную инженерию, спам, DDOS атаки и т. д.
- Изначально сообщайте об ошибке только нам, а не кому-либо еще.
- Дайте нам достаточно времени для исправления ошибки, прежде чем раскрывать ее кому-либо еще, и дайте нам соответствующее письменное уведомление, прежде чем раскрывать ее кому-либо еще.
Другими словами, пожалуйста, сообщайте нам об ошибках таким образом, чтобы прилагать разумные, добросовестные усилия, чтобы не причинять вреда нам или нашим пользователям. В противном случае Ваши действия могут быть истолкованы как атака, а не как попытка помочь.
Приемлемость
В целом, нахождение любой ошибки, которая представляет значительную уязвимость либо для безопасности нашего сайта, либо для целостности нашей торговой системы, может заслуживать вознаграждения. Мы оставляем за собой право решать, является ли ошибка существенной для вознаграждения.
Приемлемые вопросы безопасности (хотя не во всех случаях), включают:
- Подделка межсайтовых запросов / Cross-Site Request Forgery (CSRF)
- Межсайтовый скриптинг / Cross-Site Scripting (XSS)
- Внедрение кода
- Удаленное выполнение кода
- Повышение допусков
- Обход аутентификации
- Кликджекинг, интерфейсная атака
- Утечка конфиденциальных данных
Отсутствие правомочности
Не дают права на вознаграждение:
- Уязвимости сайтов на хостинге третьих сторон (таких как support.kraken.com и т. д.), если они не приводят к уязвимости на основном веб-сайте.
- Уязвимости и ошибки в блоге Kraken (blog.kraken.com)
- Такие уязвимости, как физическая атака, социальный инженериниг, спам, DDOS-атаки и т. Д.
- Уязвимости, влияющие на устаревшие или неисправные браузеры.
- Уязвимости в приложениях третьих сторон, использующих API Kraken.
- Ошибки, не расследованы и/или сообщены должным образом.
- Ошибки, которые нам уже известны или которые нам были сообщены ранее (вознаграждение достается первому сообщившему).
- Проблемы, которые невозможно воспроизвести.
- Проблемы, решение которых не представляется возможным.
Вознаграждение
- Минимальное вознаграждение за найденные ошибки составляет 100 USD в Bitcoin
- Оставляем за собой право увеличить размер вознаграждения, особенно при обнаружении серьезной проблемы.
- Одноразовое вознаграждение за найденную ошибку.
Как сообщить об ошибке
- Отправьте отчет об ошибке на [email protected].
- Постарайтесь включить в отчет как можно больше информации, включая описание ошибки, потенциальный ущерб, и шаги по ее воспроизведению или подтверждение концепции.
- Укажите Ваше имя и как Вас представить на нашей Стене славы
- Включите Ваш адрес BTC для оплаты.
- Перед отправкой повторного письма, пожалуйста, подождите ответа 2 рабочих дня.