Kraken

Bug Bounty

Bul Bug'ı 
Al Bitcoin' i!

Bug Bounty

Her ne kadar uzman ekibimiz sistemlerimizdeki tüm böcekleri ezmek için her türlü çabayı göstermiş olsa da, her zaman önemli bir güvenlik açığı oluşturarak birini kaçırmış olma ihtimalimiz var. Eğer bir hata keşfederseniz, mümkün olan en kısa sürede çözebilmemiz için sorumlu bir şekilde araştırıp bize bildirmenizdeki işbirliğiniz için teşekkür ederiz. Önemli hatalar için, Şöhret Duvarımızda (aşağıda) ödül ve tanınma öneriyoruz.

Sorumlu Soruşturma ve Raporlama

Sorumlu soruşturma ve raporlama aşağıdakileri içerir, ancak bunlarla sınırlı değildir:

  • Diğer kullanıcıların gizliliğini ihlal etmeyin, verileri yok etmeyin, hizmetlerimizi bozmayın, vb.
  • Hatayı inceleme sürecinde yalnızca kendi hesaplarınızı hedefleyin. Diğer kullanıcıların hesaplarını hedeflemeyin, erişmeye çalışmayın veya aksatmayın.
  • Fiziksel güvenlik önlemlerimizi hedeflemeyin veya sosyal mühendislik, spam, dağıtılmış hizmet reddi (DDOS) saldırıları, vs. kullanmaya çalışmayın.
  • Başlangıçta hatayı sadece bize bildiriniz, kimseye bildirmeyiniz.
  • Başkasına açıklamadan önce hatayı düzeltmek için bize makul bir süre verin ve başkasına açıklamadan önce bize yeterli yazılı uyarı verin.

Genel olarak, lütfen hataları ve bize veya kullanıcılarımıza zarar vermemek için makul ve iyi niyetli bir çaba gösterecek şekilde soruşturun ve raporlayın. Aksi halde, eylemleriniz yardımcı olma çabasından ziyade bir saldırı olarak yorumlanabilir.

Uygunluk

Genel olarak konuşursak, sitemizin güvenliği veya ticaret sistemimizin bütünlüğü açısından önemli bir güvenlik açığı oluşturan herhangi bir hata, ödül almaya uygun olabilir. Ancak, bir hatanın ödül almaya hak kazanacak kadar önemli olup olmadığına karar vermek tamamen bizim takdirimize bağlıdır.

Genel olarak uygun olacak güvenlik sorunları (her durumda zorunlu olmamakla birlikte) şunları içerir:

  • Siteler Arası İstek Sahteciliği (CSRF)
  • Siteler arası komut dosyası çalıştırma (XSS)
  • Kod Enjeksiyonu
  • Uzaktan Kod Yürütme
  • Ayrıcalık Yükselmesi
  • Kimlik Doğrulama Baypas
  • Clickjacking
  • Hassas Veri Kaçakları

İhaleye katılamayacak

Ödül almaya uygun olmayan şeyler:

  • Ana web sitesinde bir güvenlik açığı olmadıkça, üçüncü taraflarca barındırılan sitelerdeki (support.kraken.com, vb.) Güvenlik açıkları.
  • Kraken blogundaki güvenlik açıkları ve hatalar (blog.kraken.com)
  • Fiziksel saldırı, sosyal mühendislik, spam, DDOS saldırısı vs. gibi koşullu güvenlik açıkları.
  • Eski ya da işaretsiz tarayıcıları etkileyen güvenlik açıkları.
  • Kraken'in API'sini kullanan üçüncü taraf uygulamalardaki güvenlik açıkları.
  • Sorumlu bir şekilde soruşturulmamış ve raporlanmamış böcekler.
  • Bizim için zaten bilinen veya zaten bir başkası tarafından rapor edilen hatalar (ödül ilk raportöre gidiyor).
  • Yeniden üretilemeyen sorunlar.
  • Herhangi bir şey yapmamızın makul bir şekilde beklenemeyeceği konular.

Ödül

  • Uygun hatalar için asgari ödül Bitcoins'te 100 USD'ye eşdeğerdir.
  • Asgari ödüller bizim takdirimize bağlıdır, ancak özellikle ciddi sorunlar için önemli ölçüde daha fazla ödeyeceğiz.
  • Hata başına sadece bir ödül.

Bir Hata Nasıl Bildirilir?

  • Hata raporunu bugbounty@kraken.com adresine gönder.
  • Raporunuza, hatanın bir açıklaması, olası etkisi ve yeniden üretme ya da kavram kanıtı için adımlar dahil olmak üzere mümkün olduğunca fazla bilgi eklemeye çalışın.
  • Adınızı ve bağlantınızı Şöhret Duvarımızda görünmesini istediğiniz şekilde ekleyin (isteğe bağlı).
  • Ödeme için BTC adresinizi ekleyin.
  • Lütfen başka bir e-posta göndermeden önce yanıt vermemiz için 2 iş günü bekleyin.

ŞöhretDuvarı

Programa katkıda bulunanlar:

Rewards

All bounty submissions are rated by Kraken and paid out based on vulnerability rating. All payouts will proceed in BTC and are defined as a guideline and subject to change.

  • All bug reports must be submitted to bugbounty@kraken.com
  • Asking for payment in exchange for vulnerability details will result in immediate ineligibility of bounty payments. 
  • If we cannot reproduce your findings, your report will not be eligible for payout. We ask you to provide as detailed a report as possible with all steps necessary to reproduce your findings. 
  • Include your Bitcoin (BTC) Address for Payment. All rewards will be issued in Bitcoin.
  • The minimum payout is Bitcoin (BTC) equivalent of $500 USD.

Program Statistics

  • 39 reports rewarded in the last year
  • $805 average payout in the last year

Wall of Fame

See below some of the researchers who have been previously rewarded through Kraken's Bug Bounty program.

Wall of FameResearcherAmount Rewarded
InducteesSunil Yeda - Twitter$6,400
 Gal Nagli - Twitter, LinkedIn$3,500
 Ranjeet Kumar Singh - Twitter, LinkedIn$2,900
This information is updated monthly.

Vulnerability Ratings

Critical

Critical severity issues present a direct and immediate risk to a broad array of our users or to Kraken itself. They often affect relatively low-level /foundational components in one of our application stacks or infrastructure. For example:

  • arbitrary code/command execution on a server in our production network.
  • arbitrary queries on a production database.
  • bypassing our sign-in process, either password or 2FA.
  • access to sensitive production user data or access to internal production systems.

 

High

High severity issues allow an attacker to read or modify highly sensitive data that they are not authorized to access. They are generally more narrow in scope than critical issues, though they may still grant an attacker extensive access. For example:

  • XSS which bypasses CSP
  • Discovering sensitive user data in a publicly exposed resource
  • Gaining access to a non-critical, system to which an end user account should not have access

 

Medium

Medium severity issues allow an attacker to read or modify limited amounts of data that they are not authorized to access. They generally grant access to less sensitive information than high severity issues. For example:

  • Disclosing non-sensitive information from a production system to which the user should not have access
  • XSS that does not bypass CSP or does not execute sensitive actions in another user’s session
  • CSRF for low risk actions

 

Low

Low severity issues allow an attacker to access extremely limited amounts of data. They may violate an expectation for how something is intended to work, but it allows nearly no escalation of privilege or ability to trigger unintended behavior by an attacker. For example:

  • Triggering verbose or debug error pages without proof of exploitability or obtaining sensitive information.

 

Ineligibility

Reports in which we are not interested include:

  • Vulnerabilities on sites hosted by third parties (support.kraken.com, etc) unless they lead to a vulnerability on the main website. Vulnerabilities and bugs on the Kraken blog (blog.kraken.com)
  • Vulnerabilities contingent on physical attack, social engineering, spamming, DDOS attack, etc.
  • Vulnerabilities affecting outdated or unpatched browsers.
  • Vulnerabilities in third party applications that make use of Kraken's API.
  • Vulnerabilities that have not been responsibly investigated and reported.
  • Vulnerabilities already known to us, or already reported by someone else (reward goes to first reporter). Issues that aren't reproducible.
  • Vulnerabilities that require an improbable level of user interaction.
  • Vulnerabilities that require root/jailbreak on mobile.
  • Missing security headers without proof of exploitability.
  • TLS Cipher Suites offered.
  • Suggestions on best practices.
  • Software version disclosure.
  • Any report without an accompanying proof of concept exploit.
  • Issues that we can't reasonably be expected to do anything about.
  • The output from automated tools/scanners.
  • Issues without any security impact.

 

Non-security Issues

You can let us know about non-security issues at https://support.kraken.com.