Ödüllü Hata Avcılığı

Bitcoin kazanın 
güvenlik açıklarını bulma karşılığında

Ödüllü Hata Avcılığı

Bitcoin kazanın 
güvenlik açıklarını bulma karşılığında

Hakkında

2011 yılında kurulan Kraken Dijital Varlık Borsası, en geniş dijital varlık ve ulusal para birimleri seçimi ile dünyanın en büyük ve en eski bitcoin borsalarından biridir. Dünyanın dört bir yanındaki ofisleri ile San Francisco merkezli Kraken'in işlem platformu, bağımsız haber medyası tarafından sürekli olarak en iyi ve en güvenli dijital varlık borsası olarak derecelendirilmiştir. Almanya'nın BaFin tarafından denetlenen Fidor Bank'ı da dahil olmak üzere yüz binlerce al satçı, kurum ve otorite tarafından güvenilen Kraken, piyasa verilerini Bloomberg Terminalinde görüntüleyen, kriptografik olarak doğrulanabilir bir rezerv kanıtı denetiminden geçen ve marjlı spot işlem sunan ilk borsadır. Kraken yatırımcıları arasında Blockchain Capital, Digital Currency Group, Hummingbird Ventures ve Money Partners Group bulunuyor.

Bug Bounty Program Overview

  • Kraken encourages responsible disclosure of security vulnerabilities through our Bug Bounty program.
  • Researchers must follow the written policy. This policy is not negotiable.
  • Key rules:
    • Act in good faith and avoid policy violations.
    • Don’t do more than needed to prove a vulnerability. 
    • Don’t make threats or ransom demands.
    • Report vulnerabilities, including instructions and proof of concept exploit, as soon as discovered and validated.
  • Researchers are responsible for complying with all applicable laws.
  • Attempts to subvert or violate our policy will result in immediate ineligibility for this program. Threats or extortion attempts may be referred to law enforcement.
  • If you’re unsure about something, notify [email protected] for clarification.

Politika

Kraken, ürünlerimizi ve kullanıcılarımızı güvende tutmaya yardımcı olan güvenlik profesyonellerinin ve geliştiricilerinin değerine güçlü bir şekilde inanıyor. Kraken, Ödül Avcılığı Programımız aracılığıyla koordineli güvenlik açığı açıklamasını (CVD) kurdu ve teşvik etti. Ödül Avcılığı programı, dijital para piyasasındaki müşterileri korumaya yardımcı olarak Kraken misyonuna hizmet ediyor.

Kraken, iyi niyet, kazara ihlaller de dahil olmak üzere tüm Kraken Ödül Avcılığı politikalarını takiben yapılan güvenlik araştırması için yasal işlem başlatmamayı kabul eder. Lütfen mümkün olduğunda test hesapları oluşturarak kasıtlı gizlilik ihlallerinden kaçının. Bulgularınızı doğrulamak için kullanmak üzere hesap sahibinin açık yazılı iznine sahip olmadığınız hesaplar için kişisel olarak tanımlanabilir bilgiler veya diğer hassas verilerle karşılaşırsanız lütfen bu verilere derhal erişmeyi bırakın ve sorunu Kraken'e verilerin kendisini değil, verilerin açıklamasını aktararak bildirin. Lütfen diğer kullanıcıların verilerini saklamayın veya iletmeyin ve lütfen araştırma sırasında yanlışlıkla veya kasıtlı olarak eriştiğiniz size ait olmayan tüm veri kopyalarını imha edin. Güvenlik açığı yerine bir veri ihlali veya bir veri havuzunun yerini bildiriyorsanız lütfen verilerin konumunu sağlayın ve daha fazla erişmeyin veya verilerin konumunu başkalarıyla paylaşmayın.

Bir ödül avcılığı gönderimi asla tehdit veya gasp girişimlerini içeremez. Meşru bulgular için ödül vermeye açığız ancak fidye talepleri ödeme için uygun değildir. Yasalar gereği, fidye talepleri içeren herhangi bir ödül avcılığı başvurusunu bildirmemiz gerekebilir.

Bu politikaya uygun olarak yürütülen faaliyetlerin Bilgisayar Sahtekarlığı ve Suistimal Yasası (CFAA), Dijital Milenyum Telif Hakkı Yasası (DMCA) ve Kaliforniya Ceza Kanunu 503(c) gibi geçerli bilgisayar korsanlığı karşıtı yasalar kapsamında “yetkili” davranış teşkil ettiğine inanıyoruz. Ödül Avcılığı Programı kapsamındaki uygulamaları korumak için kullandığımız teknolojik önlemleri atlattıkları için araştırmacılara karşı bir talepte bulunmayacağız. Ancak, bu politikanın izlenmesi, Kraken'in veya başka bir bireysel kuruluşun veya hükümetin küresel yasalardan dokunulmazlık sağlayabileceği anlamına gelmez. Korsanlıkla mücadele, veri ve gizlilik ve ihracat kontrolleri ile ilgili tüm geçerli yerel ve uluslararası yasaları anlamak ve bunlara uymak bireysel güvenlik araştırmacılarının sorumluluğundadır. Üçüncü bir taraf size karşı yasal işlem başlatırsa ve bu politikadaki şartlara uyuyorsanız Kraken ilgili kolluk kuvvetlerine veya sivil davacılara araştırma faaliyetlerinizin, bildiğimiz kadarıyla, bu programın hüküm ve koşullarına uygun olarak yürütüldüğünü bildirecektir. 

Her araştırmacının bu politikayla tutarsız olabilecek veya bu politika tarafından ele alınmayan davranışlarda bulunmadan önce bize bir bildirimde bulunması gerekmektedir. Araştırmacıların araştırmalarını ve raporlamalarını güvenle yürütmelerine yardımcı olacak politika açıklamalarına yönelik önerileri memnuniyetle karşılıyoruz.

Ödüller

Tüm ödül gönderimleri Kraken tarafından derecelendirilir ve güvenlik açığı derecesine göre ödenir. Tüm ödemeler BTC olarak devam edecek ve bir kılavuz olarak tanımlanacak ve değişikliğe tabi olacaktır.

  • Tüm hata raporları [email protected] adresine gönderilmelidir
  • Ödül Avcılığı ödemelerini almak için:
  • Güvenlik açığı bilgileri karşılığında ödeme istemek, ödül ödemelerinin derhal uygun olmamasına neden olacaktır. 
  • Bulgularınızı çoğaltamazsak raporunuz ödeme için uygun olmayacaktır. Bulgularınızı çoğaltmak için gerekli tüm adımları içeren mümkün olduğunca ayrıntılı bir rapor sunmanızı istiyoruz. 
  • Ödeme için Bitcoin (BTC) adresinizi ekleyin. Tüm ödüller Bitcoin olarak verilecektir.
  • Ödeme minimumları aşağıda belirtilmiştir. Tüm ödemeler Kraken'in takdirine bağlı olarak değiştirilebilir.
  • Minimum ödeme 500 ABD doları eş değeri Bitcoin'dir (BTC) .

Submission Process

The following steps are taken to process a Bug Bounty submission:

1. Report is submitted to bug bounty mailbox

2. Kraken security acknowledges submission (SLA 1 Business Day)

3. Kraken security triages the submission (SLA 10 Business Days)

4. Kraken security sends response with determination, if deemed a vulnerability, notification includes severity level and amount of reward (we will ask for a BTC address)

5. For security vulnerabilities, Kraken will send the reward (SLA 14 Business Days)

 

Ödeme ÖlçeğiÖnem DerecesiAralık
 Düşük Önem500 - 1000 ABD doları
 Orta Önem2500 - 5000 ABD doları
 Yüksek Önem20.00 ABD doları - 50.000 ABD doları
 Kritik Önem100.000 ABD doları - 1.500.000 ABD doları

Program İstatistikleri

  • 27 rapor geçen yıl ödüllendirildi
  • 501 rapor geçen yıl gönderildi
  • 2463 ABD doları : geçen yıl ortalama ödeme

Şöhret Duvarı

Daha önce Kraken'in Bug Bounty programı ile ödüllendirilen araştırmacılardan bazılarına bakın.

Şöhret DuvarıAraştırmacıÖdül Miktarı
DavetlilerDevendra Hyalij - Twitter60.100 ABD Doları
 UGWST - Twitter35.000 ABD Doları
 Redakte edildi*20,000 ABD Doları
 Redakte edildi*18.000 ABD Doları
 Redacted*$20,000
 Redakte edildi*18.000 ABD Doları
 Md Al Nafis Aqil Haque11.000 ABD Doları
 Redakte edildi*10.000 ABD Doları
 Redakte edildi*10.000 ABD Doları
 Redakte edildi*10.000 ABD Doları
 
*Araştırmacı adı talep üzerine saklanmıştır
 
Bu bilgiler üç ayda bir güncellenir.

Güvenlik Açığı Derecelendirmeleri

Kritik

Kritik önemdeki sorunlar, kullanıcılarımızın geniş bir yelpazesi veya Kraken'in kendisi için doğrudan ve acil bir risk oluşturmaktadır. Bunlar genellikle uygulama yığınlarımızdan veya altyapımızdan birinde nispeten düşük seviyeli/temel bileşenleri etkiler. Örneğin:

  • üretim ağımızdaki bir sunucuda rastgele kod / komut yürütme.
  • bir üretim veri tabanında rastgele sorgular.
  • şifre veya 2FA ile oturum açma sürecimizi atlama.
  • hassas üretim kullanıcı verilerine erişim veya dahili üretim sistemlerine erişim.

 

Yüksek

Yüksek önem derecesine sahip sorunlar, bir saldırganın erişim yetkisi olmayan son derece hassas verileri okumasına veya değiştirmesine olanak tanır. Genellikle kritik sorunlara göre daha dar kapsamlıdırlar ancak yine de bir saldırgana kapsamlı erişim sağlayabilirler. Örneğin:

  • CSP'yi atlayan XSS
  • Kamuya açık bir kaynakta hassas kullanıcı verilerini bulma
  • Son kullanıcı hesabının erişemeyeceği kritik olmayan bir sisteme erişim sağlama

 

Orta

Orta önem derecesindeki sorunlar, bir saldırganın erişim yetkisi olmayan sınırlı miktarda veriyi okumasına veya değiştirmesine olanak tanır. Genellikle yüksek önem taşıyan konulara göre daha az hassas bilgilere erişim sağlarlar. Örneğin:

  • Kullanıcının erişemeyeceği bir üretim sisteminden hassas olmayan bilgilerin açıklanması
  • CSP'yi atlamayan veya başka bir kullanıcının oturumunda hassas eylemleri yürütmeyen XSS
  • Düşük riskli eylemler için CSRF

 

Düşük

Düşük önem dereceli sorunlar bir saldırganın son derece sınırlı miktarda veriye erişmesine olanak tanır. Bir şeyin nasıl çalışması gerektiğine ilişkin bir beklentiyi ihlal edebilirler ancak neredeyse hiçbir ayrıcalık artışına veya bir saldırgan tarafından istenmeyen davranışları tetikleme yeteneğine izin vermezler. Örneğin:

  • Kullanılabilirlik kanıtı olmadan veya hassas bilgiler elde etmeden ayrıntılı veya hata ayıklama hata sayfalarını tetikleme.

 

Uygunsuzluk

İlgilenmediğimiz raporlar şunları içerir:

  • Üçüncü taraflarca barındırılan sitelerdeki güvenlik açıkları (support.kraken.com vb.), ana web sitesinde bir güvenlik açığına yol açmadıkça. Kraken blogundaki güvenlik açıkları ve hatalar (blog.kraken.com)
  • Fiziksel saldırı, sosyal mühendislik, spam, DDOS saldırısı vb. durumlara bağlı güvenlik açıkları.
  • Eski veya yamalanmamış tarayıcıları etkileyen güvenlik açıkları.
  • Kraken API'sini kullanan üçüncü taraf uygulamalardaki güvenlik açıkları.
  • Üçüncü taraf kütüphanelerinde veya Kraken ürünlerinde, hizmetlerinde veya altyapısında kullanılan teknolojide, sorunun kamuya açıklanmasından sonraki 30 günden daha önce kamuya açıklanan güvenlik açıkları
  • Kraken'in kapsamlı bir düzeltme yayınlamasından önce kamuya açıklanan güvenlik açıkları.
  • Bizim tarafımızdan zaten bilinen veya başka biri tarafından bildirilen güvenlik açıkları (ödül ilk bildirene gider). Tekrarlanamayan konular.
  • Olası olmayan düzeyde bir kullanıcı etkileşimi gerektiren güvenlik açıkları.
  • Mobil cihazlarda root/jailbreak gerektiren güvenlik açıkları.
  • Kullanılabilirlik kanıtı olmadan eksik güvenlik başlıkları.
  • Sunulan TLS Şifre Paketleri.
  • En iyi uygulamalar hakkında öneriler.
  • Yazılım sürümü açıklaması.
  • Konsept istismarına ilişkin bir kanıt içermeyen herhangi bir rapor.
  • Kraken'in bu standartlara uymak için uygulaması gereken teknik şartnamelerdeki sorunlar gibi, makul olarak bir şey yapmamız beklenemeyecek konular.
  • Otomatik araçlardan/tarayıcılardan gelen çıktılar.
  • Herhangi bir güvenlik etkisi olmayan sorunlar.

 

Güvenlik dışı sorunlar

Güvenlik dışı sorunları https://support.kraken.com adresinden bize bildirebilirsiniz.