Kraken

Баг-баунті

Біткоїн-винагорода 
за знайдені помилки

Баг-баунті

Наша команда експертів доклала усіх зусиль, щоб усунути всі помилки в наших системах. Однак, завжди є можливість, що ми пропустили щось особливо вразливе. Ми особливо цінуємо ваше співробітництво у відповідальному розслідуванні та повідомленні про виявлену помилку, щоб ми могли якнайшвидше виправити її. За суттєві помилки ми пропонуємо винагороду та визнання на нашій стіні слави (див. далі).

 

Відповідальне розслідування та повідомлення 

Відповідальне розслідування та повідомлення включають, але не обмежуються, наступне:

  • Не порушуйте конфіденційність інших користувачів, не знищуйте дані, не зламуйте наші продукти тощо.
  • Працюйте лише зі своїми власними акаунтами під час дослідження помилки. Не намагайтеся отримати доступ до акаунтів інших користувачів, чи не порушуйте їх іншим чином.
  • Не зламуйте наші заходи фізичної безпеки, та не намагайтеся використовувати соціальну інженерію, спам, розподілені атаки (DDOS) тощо.
  • Спочатку повідомте про помилку тільки нам, а не комусь іншому.
  • Надайте нам достатньо часу для виправлення помилки перед тим, як розкрити її іншим, та дайте нам належне письмове попередження, перш ніж розкривати її іншим.

Загалом, шукайте помилки та повідомляйте про них у спосіб розумних і сумлінних зусиль, що не є руйнівними чи шкідливими для нас або наших користувачів. Інакше ваші дії можуть тлумачитися як атака, а не як спроба допомогти.

 

Прийнятність

Загалом, будь-яка помилка зі значною вразливістю чи небезпекою для нашого сайту, або для цілісності нашої торгової системи, може заслуговувати на винагороду. Однак, ми залишаємо за собою виключне право вирішувати, чи помилка заслуговує винагороди.

Проблеми безпеки, котрі вважаються прийнятними для винагороди (не обов'язково у всіх випадках), включають:

  • Підробка запитів між сайтами (CSRF)
  • Сценарії між сайтами (XSS)
  • Вставка коду
  • Віддалене виконання коду
  • Ескалація привілеїв
  • Обхід автентифікації
  • Клікджекінг
  • Витік конфіденційних даних

 

Неприйнятність

Помилки, котрі не передбачають винагороди:

  • Уразливості на сайтах, розміщених третіми сторонами (support.kraken.com, тощо), якщо вони не призводять до уразливості на основному веб-сайті.
  • Уразливості та помилки на блозі Кракен (blog.kraken.com)
  • Уразливість до фізичної атаки, соціальної інженерії, спаму, атаки DDOS тощо.
  • Уразливості, які впливають на застарілі чи ненавантажені веб-браузери.
  • Уразливості додатків третіх сторін, які використовують Kraken API.
  • Помилки, котрі не перевірено та повідомлено належним чином.
  • Помилки, вже відомі нам, або вже повідомлені іншими (винагорода надходить до першого репортера).
  • Проблеми, які не відтворюються.
  • Проблеми, котрим ми очевидно не можемо зарадити.

 

Винагорода

  • Мінімальна винагорода за прийнятні помилки - еквівалент 100 доларів США в біткоїні.
  • Винагороди понад мінімальний розмір залишаються на наш розсуд, але ми заплатимо значно більше за особливо серйозні проблеми.
  • Лише одна винагорода за кожну помилку.

 

Як повідомити про помилку

  • Надішліть звіт про помилку на bugbounty@kraken.com.
  • Спробуйте включити в свій звіт якомога більше інформації, в т.ч. опис помилки, її потенційний вплив і кроки для її відтворення або підтвердження концепції.
  • Вкажіть свої ім’я та посилання для відображення на нашій Стіні Слави (необов'язково).
  • Включіть адресу BTC для оплати.
  • Дайте нам два робочі дні для відповіді, перш ніж надсилати наступного листа.

 

Стіна Слави

Люди, котрі зробили свій внесок у програму:

Abhishek
Dashora
Ad
Steijvers
Aakash
Kumar
Ali
Hasan Ghauri
Anand
Prakash
Curesec
GmbH
Eugene
Farfel
mrrm
Muhammad
Shahmeer
N B
Sri Harsha
Rafay
Baloch
Rakesh
Mane
Sitanshu
Dubey
Sunil
Dadhich
Vahagn
Vardanyan
Vinayendra
Nataraja