Nhận Bitcoin 
cho việc phát hiện lỗi

Mặc dù nhóm các chuyên gia của chúng tôi đã rất nỗ lực trong việc xử lý hết tất cả những lỗi trong hệ thống, tuy nhiên rất có khả năng vẫn còn một lỗi nào đó có thể gây ra lỗ hỗng nghiêm trọng. Nếu bạn phát hiện ra lỗi hệ thống, chúng tôi trân trọng tinh thần hợp tác của bạn trong việc điều tra và thông báo với chúng tôi để chúng tôi có thể giải quyết vấn đề đó càng sớm càng tốt. Đối với các lỗi hệ thống nghiêm trọng, chúng tôi sẽ trao tặng phần thưởng và tuyên dương trên Bức tường danh vọng của chúng tôi (dưới đây).

 

Điều tra và báo cáo có trách nhiệm 

Điều tra và báo cáo có trách nhiệm bao gồm, nhưng không giới hạn những điều sau đây:

• Không vi phạm quyền riêng tư của người dùng khác, phá hủy dữ liệu, làm gián đoạn dịch vụ của chúng tôi, v.v.
• Chỉ nhắm đến các tài khoản của riêng bạn trong quá trình điều tra lỗi. Không nhắm đến, cố gắng truy cập hoặc phá hủy tài khoản của những người dùng khác.
• Không nhắm đến các thiết bị bảo mật của chúng tôi, hoặc cố gắng sử dụng tấn công phi kỹ thuật, spam, tấn công từ chối dịch vụ phân tán (DDOS) v.v.
• Trước nhất chỉ báo cáo lỗi cho chúng tôi chứ không phải ai khác.
• Cho chúng tôi một khoảng thời gian hợp lý để sửa lỗi trước khi tiết lộ cho bất kỳ ai khác và cung cấp cho chúng tôi cảnh báo bằng văn bản đầy đủ trước khi tiết lộ cho bất kỳ ai khác.

Nói một cách tổng quát, hãy điều tra và báo cáo lỗi một cách hợp lý và thiện chí, không gây rối hoặc gây hại cho chúng tôi hoặc người dùng của chúng tôi. Nếu không, hành động của bạn có thể được hiểu là một cuộc tấn công chứ không phải là một nỗ lực giúp ích.

 

Đủ điều kiện

Nói một cách tổng quát, phát hiện bất kỳ lỗi nào gây ra lỗ hổng đáng kể cho tính bảo mật của trang web hoặc tính toàn vẹn của hệ thống giao dịch của chúng tôi, đều có thể đủ điều kiện nhận thưởng. Nhưng chúng tôi hoàn toàn có quyền quyết định lỗi nào quan trọng đủ điều kiện cho phần thưởng đó.

Các vấn đề bảo mật thường đủ điều kiện (mặc dù không nhất thiết trong mọi trường hợp) bao gồm:

• Tấn công CSRF (Cross-Site Request Forgery)
• Tấn công XSS (Cross-Site Scripting)
• Tấn công tiêm mã (Code Injection)
• Thực thi code từ xa (Remote Code Execution)
• Leo thang đặc quyền (Privilege Escalation)
• Vượt qua xác thực (Authentication Bypass)
• Tấn công Clickjacking
• Rò rỉ dữ liệu nhạy cảm

 

Không đủ điều kiện

Những phát hiện không đủ điều kiện nhận thưởng bao gồm:

• Lỗ hổng trên các trang web được lưu trữ bởi các bên thứ ba (support.kraken.com, ...) trừ khi chúng dẫn đến lỗ hổng trên trang web chính.
• Lỗ hổng và lỗi trên blog của Kraken (blog.kraken.com)
• Các lỗ hổng phụ thuộc vào các cuộc tấn công vật lý, tấn công phi kỹ thuật, spam, tấn công DDOS, ...
• Các lỗ hổng ảnh hưởng đến các trình duyệt lỗi thời hoặc chưa được vá.
• Lỗ hổng trong các ứng dụng của bên thứ ba lợi dụng API của Kraken.
• Các lỗi  chưa từng được điều tra và báo cáo một cách có trách nhiệm.
• Các lỗi mà chúng tôi đã biết hoặc đã được người khác báo cáo (phần thưởng dành cho người báo cáo đầu tiên).
• Các vấn đề không có tính lặp lại
• Các vấn đề mà chúng tôi không thể làm gì một cách hơp lý.

 

Phần thưởng

• Phần thưởng tối thiểu cho các lỗi đủ điều kiện tương đương 100 USD bằng Bitcoin.
• Phần thưởng vượt quá mức tối thiểu sẽ theo quyết định của chúng tôi, tuy nhiên chúng tôi sẽ trao thưởng một cách xứng đáng cho các vấn đề đặc biệt nghiêm trọng.
• Mỗi lỗi chỉ được nhận một phần thưởng.

 

Cách báo cáo lỗi

• Gửi báo cáo lỗi của bạn đến bugbounty@kraken.com.
• Cố gắng đưa càng nhiều thông tin vào báo cáo của bạn càng tốt, bao gồm mô tả về lỗi, tác động tiềm tàng của nó và các bước để tái tạo nó hoặc bằng chứng về khái niệm (PoC).
• Ghi kèm tên và link của bạn nếu như bạn muốn nó xuất hiện trên Bức tường danh vọng của chúng tôi (không bắt buộc).
• Ghi kèm địa chỉ BTC của bạn để nhận thanh toán.
• Vui lòng chờ 2 ngày làm việc để chúng tôi trả lời trước khi gửi email khác.

 

Danh sách những người đóng góp vào chương trình này: