Отримайте Bitcoin 
за пошук помилок у системі безпеки

Заснована у 2011 році біржа цифрових активів Kraken є однією з найбільших і найстаріших бірж у світі з найширшим вибором цифрових активів і національних валют. Торгова платформа Kraken, що базується в Сан-Франциско й має офіси в усьому світі, незмінно оцінюється незалежними ЗМІ як найкраща й найбезпечніша біржа цифрових активів. Платформа Kraken, якій довіряють сотні тисяч трейдерів, установ і офіційних органів включно з банком Fidor Bank, що контролюється німецьким регулятором BaFin, є першою біржею, ринкові дані якої відображаються на терміналі Bloomberg і яка пройшла криптографічну перевірку підтвердження резервів, а також першою запропонувала спотову торгівлю з маржею. Серед інвесторів Kraken – Blockchain Capital, Digital Currency Group, Hummingbird Ventures і Money Partners Group.

Kraken твердо вірить у цінність послуг фахівців із безпеки й розробників, які допомагають у захисті наших продуктів і користувачів. Компанія Kraken запровадила програму Bug Bounty, щоб заохотити скоординований пошук вразливостей у своїх продуктах. Ініціатива Bug Bounty сприяє реалізації місії Kraken, допомагаючи захистити клієнтів на ринку цифрових валют.

Kraken зобов’язується не подавати позовів за дослідження в галузі безпеки, що здійснюються відповідно до всіх опублікованих політик програми Bug Bounty від Kraken, включаючи добросовісні випадкові порушення. Просимо уникати навмисних порушень конфіденційності та за можливості створювати тестові облікові записи. Якщо ви зіткнетеся з інформацією, що ідентифікує особу, або іншими конфіденційними даними облікових записів, на використання яких для перевірки ваших знахідок у вас немає письмової згоди власника, негайно припиніть доступ до цих даних і повідомте Kraken про проблему, доклавши до свого звіту опис даних, а не самі дані. Не зберігайте й не передавайте інформацію інших користувачів, а також знищуйте всі копії даних, які вам не належать і які ви випадково або навмисно отримали в процесі своїх досліджень. Якщо ви повідомляєте не про вразливість у системі безпеки, а про інформаційний витік або місцезнаходження сховища даних, надайте інформацію про місцезнаходження цих даних і більше не намагайтеся отримати до них доступ, а також не повідомляйте про їхнє місцезнаходження іншим особам.

Ми вважаємо діяльність, що здійснюється відповідно до цієї політики, «дозволеною» відповідно до Закону про боротьбу з комп’ютерним шахрайством і зловживаннями (CFAA), Закону про авторське право в цифрову епоху (DMCA) і чинних законів про боротьбу з комп’ютерним зломом, таких як частина 503(c) Кримінального кодексу Каліфорнії. Ми не подаватимемо позовів проти дослідників за обхід технологічних заходів, що ми використовуємо для захисту програм, на які поширюється ініціатива Bug Bounty. Однак дотримання цієї політики не означає, що Kraken або будь-яка інша організація чи уряд надаватимуть імунітет від дії міжнародних законів. Індивідуальні дослідники в галузі безпеки несуть відповідальність за розуміння й дотримання всіх застосовних місцевих і міжнародних законів, що стосуються боротьби з комп’ютерним зломом, захисту даних і конфіденційності, а також експортного контролю. Якщо будь-яка третя сторона подає проти вас судовий позов і ви дотримувалися умов цієї політики, Kraken повідомить відповідні правоохоронні органи або цивільних позивачів про те, що ваша дослідницька діяльність, наскільки нам відомо, здійснювалася відповідно до умов і положень цієї програми та згідно з ними. 

Кожен дослідник повинен повідомити нас перед тим, як брати участь у діях, що можуть бути несумісними із цією політикою або не передбачені нею. Ми заохочуємо будь-які пропозиції щодо роз’яснення цієї політики, які допоможуть дослідникам з упевненістю проводити свої дослідження та повідомляти про їхні результати.

Усі заявки на нагороду оцінюються й оплачуються біржею Kraken залежно від рейтингу вразливості. Усі виплати здійснюватимуться в BTC та є орієнтовними, тобто можуть бути змінені.

• Усі повідомлення про помилки необхідно надсилати на адресу [email protected]
• Для отримання виплат за програмою Bug Bounty необхідно зареєструватися й надати документи для верифікації рівня «Стандартний». Див. також: https://support.kraken.com/hc/articles/360000672203-Document-requirements-for-verification
• Прохання про оплату в обмін на інформацію про вразливість призведе до негайної відмови у виплаті нагороди. 
• Якщо нам не вдасться відтворити ваші знахідки, ми не зможемо оплатити ваше повідомлення. Ми просимо вас надати якомога детальніший звіт з усіма кроками, що потрібні для відтворення ваших знахідок. 
• Укажіть свою адресу Bitcoin (BTC) для оплати. Усі нагороди виплачуються в Bitcoin.
• Мінімальні суми виплат указані нижче. Розмір будь-якої виплати може бути змінений на розсуд Kraken.
• Мінімальна виплата становить еквівалент 500 доларів США в криптовалюті Bitcoin (BTC).

Оновлення щодо нагород.

З 1 червня 2022 року для отримання нагород усі дослідники повинні створити й мати АКТИВНИЙ обліковий запис Kraken із верифікацією рівня «Стандартний». 

Рівні верифікації: https://support.kraken.com/hc/articles/360001395743-Verification-levels-explained

Створіть обліковий запис: https://www.kraken.com/sign-up

• 84 повідомлення, за які було виплачено нагороду минулого року
• 1127 повідомлень надіслано минулого року
• 998 $ – середня сума виплати за минулий рік

Нижче наведено інформацію про деяких із дослідників, які раніше були нагороджені за програмою Bug Bounty від Kraken.

Критичний рівень

Уразливості критичного рівня серйозності представляють собою пряму й безпосередню небезпеку для широкого кола наших користувачів або напряму для біржі Kraken. Вони часто впливають на відносно низькорівневі й базові компоненти в одному з наших програмних стеків або інфраструктурі. Наприклад:

• довільне виконання коду чи команд на сервері в нашій робочій мережі;
• довільні запити до робочої бази даних;
• обхід нашої системи входу на основі пароля або 2FA;
• доступ до конфіденційних робочих даних користувачів або внутрішніх робочих систем.

Високий рівень

Уразливості високого рівня серйозності дають зловмиснику змогу переглядати або змінювати конфіденційні дані, до яких у нього не повинно бути доступу. Вони зазвичай менші за масштабом, ніж проблеми критичного рівня, хоча все одно можуть надати зловмиснику широких прав доступу. Наприклад:

• XSS в обхід CSP
• Виявлення конфіденційних даних користувача на загальнодоступному ресурсі
• Отримання доступу до некритичної системи, до якої в облікового запису кінцевого користувача не повинно бути доступу

Середній рівень

Уразливості середнього рівня серйозності дають зловмиснику змогу переглядати або змінювати дані обмеженого обсягу, до яких у нього не повинно бути доступу. Зазвичай вони відкривають доступ до менш важливої інформації, ніж уразливості високого рівня серйозності. Наприклад:

• Розкриття неконфіденційної інформації з робочої системи, до якої в користувача не повинно бути доступу
• XSS, що не обходить CSP або не здійснює важливих дій у сеансі іншого користувача
• CSRF для дій із низьким рівнем ризику

Низький рівень

Уразливості низького рівня серйозності дають зловмиснику доступ до даних дуже обмеженого обсягу. Вони можуть порушити нормальну роботу певних аспектів системи, але майже не допускають ескалації привілеїв зловмисника або можливості ініціювати неприпустимі дії. Наприклад:

• Перегляд сторінок із докладним журналом подій або помилок без доведеної можливості скористатися цією вразливістю або отримати конфіденційну інформацію.

Невідповідність критеріям

Нижче наведено прикладі повідомлень, за які ми не виплачуємо нагороди:

• Уразливості на сайтах, розміщених на сторонніх ресурсах (support.kraken.com тощо), якщо вони не призводять до вразливості на основному сайті. Уразливості та помилки в блозі Kraken (blog.kraken.com).
• Уразливості, для використання яких потрібні фізичні атаки, заходи соціальної інженерії, спам-розсилки, DDOS-атаки тощо.
• Уразливості в застарілих або неоновлених браузерах.
• Уразливості в сторонніх програмах, що використовують API Kraken.
• Уразливості в сторонніх бібліотеках або технологіях, які використовуються в продуктах, сервісах або інфраструктурі Kraken і про які було публічно повідомлено раніше ніж через 30 днів після оприлюднення проблеми.
• Уразливості, які були оприлюднені до того, як компанія Kraken випустила для них комплексне виправлення.
• Уразливості, про які нам вже відомо або про які вже повідомив хтось інший (нагорода йде першому досліднику, хто її виявив). Проблеми, які неможливо відтворити.
• Уразливості, що вимагають практично неможливих дій із боку користувача.
• Уразливості, що вимагають наявності root-доступу (або т. з. джейлбрейка) на мобільному пристрої.
• Відсутні заголовки безпеки без доведеної можливості скористатися цією вразливістю.
• Пропозиції щодо наборів шифрів TLS.
• Пропозиції з рекомендаціями та порадами.
• Розкриття версії програмного забезпечення.
• Будь-яке повідомлення без доказу принципової можливості скористатися вразливістю.
• Проблеми, з якими ми не можемо нічого зробити, наприклад у технічних специфікаціях, які Kraken має реалізувати відповідно до стандартів.
• Результати роботи автоматизованих інструментів чи засобів сканування.
• Проблеми, що ніяк не впливають на безпечність системи.

Проблеми, що не стосуються безпеки

Повідомити нам про проблеми, що не стосуються безпеки, можна за адресою https://support.kraken.com.