Phần thưởng phát hiện lỗi

Nhận Bitcoin 
nhờ phát hiện lỗi bảo mật

Phần thưởng phát hiện lỗi

Nhận Bitcoin 
nhờ phát hiện lỗi bảo mật

Về

Được thành lập vào năm 2011, Sàn giao dịch tài sản kỹ thuật số Kraken là một trong những sàn giao dịch bitcoin lớn nhất và lâu đời nhất thế giới với nhiều lựa chọn tài sản kỹ thuật số và tiền tệ quốc gia nhất. Có trụ sở tại San Francisco với nhiều văn phòng trên khắp thế giới, nền tảng giao dịch của Kraken luôn được các phương tiện truyền thông độc lập đánh giá là sàn giao dịch tài sản kỹ thuật số tốt nhất và bảo mật nhất. Được hàng trăm ngàn nhà giao dịch, tổ chức và cơ quan có thẩm quyền tin cậy, bao gồm Fidor Bank của Đức do BaFin quản lý, Kraken là sàn giao dịch đầu tiên hiển thị dữ liệu thị trường của mình trên Bloomberg Terminal, vượt qua cuộc kiểm toán bằng chứng dự trữ có thể xác minh bằng mật mã và là sàn đầu tiên cung cấp giao dịch giao ngay bằng tiền ký quỹ. Các nhà đầu tư vào Kraken gồm có Blockchain Capital, Digital Money Group, Hummingbird Ventures và Money Partners Group.

Tổng quan về chương trình Phần thưởng phát hiện lỗi

  • Kraken khuyến khích việc tiết lộ các lỗ hổng bảo mật một cách có trách nhiệm thông qua chương trình Phần thưởng phát hiện lỗi của chúng tôi.
  • Các nhà nghiên cứu phải tuân thủ chính sách bằng văn bản. Chính sách này không thể thương lượng.
  • Quy tắc chính:
    • Hành động một cách thiện chí và tránh vi phạm chính sách.
    • Không làm nhiều hơn mức cần thiết để chứng minh lỗ hổng. 
    • Không đe dọa hoặc đòi tiền chuộc.
    • Báo cáo lỗ hổng, bao gồm hướng dẫn và bằng chứng khai thác, ngay khi phát hiện và xác thực.
  • Các nhà nghiên cứu có trách nhiệm tuân thủ mọi luật hiện hành.
  • Mọi hành vi phá hoại hoặc vi phạm chính sách của chúng tôi sẽ ngay lập tức dẫn đến việc không đủ điều kiện tham gia chương trình này. Các hành vi đe dọa hoặc tống tiền có thể được chuyển đến cơ quan thực thi pháp luật.
  • Nếu bạn không chắc chắn về điều gì đó, hãy thông báo qua [email protected] để được giải thích rõ hơn.

Chính sách

Kraken tin tưởng mạnh mẽ vào giá trị của các chuyên gia bảo mật và nhà phát triển hỗ trợ giữ an toàn cho sản phẩm và người dùng của chúng tôi. Kraken đã thiết lập và khuyến khích phối hợp công bố lỗ hổng bảo mật (CVD) thông qua chương trình Phần thưởng phát hiện lỗi của chúng tôi. Chương trình Phần thưởng phát hiện lỗi phục vụ sứ mệnh Kraken bằng cách giúp bảo vệ khách hàng trên thị trường tiền kỹ thuật số.

Khi tìm kiếm lỗi trong hệ thống Kraken, bạn đồng ý giữ bí mật tuyệt đối mọi dữ liệu, thông tin về lỗ hổng bảo mật, nghiên cứu và thông tin liên lạc của bạn với Kraken cho đến khi Kraken giải quyết vấn đề và cho phép tiết lộ. 

Khi các yêu cầu của Chính sách này được tuân thủ, Kraken sẽ không tiến hành hành động pháp lý đối với các nghiên cứu bảo mật được thực hiện tuân thủ tất cả chính sách Phần thưởng phát hiện lỗi đã đăng của Kraken, bao gồm cả thiện chí, vi phạm do tai nạn. 

Vui lòng tránh cố tình vi phạm quyền riêng tư bằng cách tạo tài khoản thử nghiệm bất cứ khi nào có thể. Nếu bạn phát hiện thông tin nhận dạng cá nhân (‘PII’) hoặc dữ liệu nhạy cảm khác đối với các tài khoản mà bạn không có sự chấp thuận rõ ràng bằng văn bản của chủ sở hữu tài khoản để sử dụng nhằm xác thực phát hiện của mình, vui lòng ngừng truy cập dữ liệu đó ngay lập tức và báo cáo vấn đề cho Kraken kèm theo mô tả về PII hoặc dữ liệu nhạy cảm khác, không phải bản thân dữ liệu.

Để phù hợp với các quy định về bảo vệ dữ liệu và chính sách bảo mật của chúng tôi, bạn phải nhớ:

  • Không lưu trữ hoặc truyền tải PII của khách hàng khác. Nếu bạn tình cờ thu thập được bất kỳ PII nào của khách hàng, hãy báo cáo ngay cho Kraken và sau đó hủy tất cả các bản sao PII không phải của bạn. 
  • Giảm thiểu việc thu thập và truy cập dữ liệu trong quá trình nghiên cứu. Chỉ thu thập và lưu giữ thông tin hoàn toàn cần thiết để chứng minh và báo cáo lỗ hổng bảo mật. 
  • Lập tức xóa tất cả dữ liệu đã thu thập một cách an toàn sau khi gửi báo cáo và Kraken xác nhận đã nhận được báo cáo.
  • Không tiết lộ bất kỳ lỗ hổng hoặc thông tin liên quan nào cho bên thứ ba mà không có sự đồng ý rõ ràng bằng văn bản của Kraken. Điều này bao gồm nhưng không giới hạn ở mạng xã hội, các công ty khác hoặc báo chí.
  • Nếu bạn đang báo cáo hành vi vi phạm dữ liệu hoặc vị trí của kho lưu trữ dữ liệu thay vì lỗ hổng bảo mật, vui lòng cung cấp vị trí của dữ liệu và không truy cập thêm cũng như không chia sẻ vị trí của dữ liệu với người khác.

Việc gửi báo cáo trong chương trình Phần thưởng phát hiện lỗi không được chứa các mối đe dọa hoặc bất kỳ âm mưu tống tiền nào. Chúng tôi sẵn sàng trả tiền thưởng cho những phát hiện hợp pháp, tuy nhiên yêu cầu tiền chuộc sẽ không đủ điều kiện để nhận thanh toán. Ví dụ, việc không tiết lộ thông tin về lỗ hổng bảo mật hoặc cản trở khả năng giải quyết lỗ hổng bảo mật cho đến khi các yêu cầu khác được đáp ứng sẽ được coi là yêu cầu tiền chuộc. Luật pháp có thể sẽ yêu cầu hoặc chúng tôi có thể tự quyết định báo cáo mọi báo cáo với bên có thẩm quyền trong chương trình Phần thưởng phát hiện lỗi có chứa yêu cầu tiền chuộc. 

Chúng tôi tin rằng các hoạt động được tiến hành phù hợp với chính sách này cấu thành hành vi “được ủy quyền” theo Đạo luật về lừa đảo và lạm dụng máy tính (CFAA), Đạo luật bản quyền thiên niên kỷ kỹ thuật số (DMCA) và các luật chống xâm nhập hiện hành như Bộ luật hình sự California 503(c). Chúng tôi sẽ không khiếu nại các nhà nghiên cứu vì đã tránh né các biện pháp công nghệ mà chúng tôi sử dụng để bảo vệ các ứng dụng trong phạm vi chương trình Phần thưởng phát hiện lỗi. Tuy nhiên, việc tuân theo chính sách này không có nghĩa là Kraken cũng như bất kỳ tổ chức hoặc chính phủ cá nhân nào khác có thể miễn trừ luật pháp toàn cầu. Trách nhiệm của từng nhà nghiên cứu bảo mật là hiểu và tuân thủ tất cả luật hiện hành của địa phương cũng như quốc tế về chống xâm nhập, dữ liệu và quyền riêng tư cũng như biện pháp kiểm soát xuất khẩu. Nếu một bên thứ ba khởi kiện bạn và bạn đã tuân thủ các điều khoản trong chính sách này, Kraken sẽ thông báo cho các cơ quan thực thi pháp luật thích hợp hoặc nguyên đơn dân sự rằng các hoạt động nghiên cứu của bạn, theo phạm vi hiểu biết tốt nhất của chúng tôi, được thực hiện theo và tuân thủ các điều khoản và điều kiện của chương trình này.

Mỗi nhà nghiên cứu phải gửi thông báo cho chúng tôi trước khi thực hiện hành vi vốn có thể sẽ không phù hợp hoặc chưa được đề cập trong chính sách này. Chúng tôi hoan nghênh những đề xuất làm rõ chính sách nhằm giúp các nhà nghiên cứu tự tin tiến hành nghiên cứu và báo cáo.

Phần thưởng

Mọi phần thưởng đều được Kraken đánh giá và thanh toán dựa trên xếp hạng lỗ hổng bảo mật. Tất cả khoản thanh toán sẽ dùng BTC vào Tài khoản Kraken đã xác minh của bạn và được xác định theo nguyên tắc cũng như có thể thay đổi.

  • Mọi báo cáo lỗi phải được gửi tới [email protected], địa chỉ liên hệ chính thức duy nhất của chương trình này. Vui lòng không sử dụng các trang web bên ngoài để gửi thông tin chi tiết về lỗ hổng bảo mật. Bất kỳ trang web hoặc cổng thông tin bên ngoài nào cũng không phải là chính thức và không được Kraken phê duyệt.
  • Để nhận khoản thanh toán phần thưởng phát hiện lỗi, bạn phải:
  • Nếu yêu cầu thanh toán hoặc xác nhận khác để đổi lấy thông tin chi tiết về lỗ hổng bảo mật, bạn sẽ không đủ điều kiện nhận khoản thanh toán tiền thưởng ngay lập tức. Nếu không tiết lộ thông tin chi tiết về lỗ hổng bảo mật, bạn sẽ không đủ điều kiện nhận khoản thanh toán tiền thưởng ngay lập tức.
  • Cung cấp hướng dẫn chi tiết để tái tạo lỗ hổng bảo mật và Bằng chứng về khái niệm. 
  • Nếu chúng tôi không thể tái tạo các phát hiện của bạn, báo cáo của bạn sẽ không đủ điều kiện để được thanh toán. Chỉ khai thác những thông tin cần thiết để chứng minh lỗ hổng bảo mật và nhanh chóng trả lại bất kỳ tài sản nào đã được trích xuất.
  • Việc tiết lộ lỗ hổng bảo mật của mình với người khác là bị nghiêm cấm.
  • Nếu thực hiện bất kỳ nỗ lực nào nhằm bỏ qua các thủ tục được nêu trong chính sách này, bạn sẽ không đủ điều kiện nhận khoản thanh toán tiền thưởng ngay lập tức. 
  • Thêm Địa chỉ Bitcoin (BTC) của bạn để nhận thanh toán. Tất cả phần thưởng sẽ được phát hành bằng Bitcoin.
  • Mức thanh toán tối thiểu được xác định bên dưới. Tất cả khoản thanh toán có thể được sửa đổi theo quyết định của' Kraken.
  • Khoản thanh toán tối thiểu là Bitcoin (BTC)  tương đương 500 USD.

Quy trình gửi

Các bước sau đây được thực hiện để xử lý đơn gửi Phần thưởng phát hiện lỗi:

1. Báo cáo được gửi đến hộp thư phần thưởng phát hiện lỗi

2. Bảo mật Kraken xác nhận đơn gửi (SLA 1 Ngày làm việc)

3. Bảo mật Kraken phân loại đơn gửi (SLA 10 ngày làm việc)

4. Bộ phận bảo mật của Kraken sẽ gửi phản hồi với quyết tâm, nếu được coi là lỗ hổng, thông báo sẽ bao gồm mức độ nghiêm trọng và số tiền thưởng (chúng tôi sẽ yêu cầu địa chỉ BTC)

5. Đối với các lỗ hổng bảo mật, Kraken sẽ gửi phần thưởng (SLA 14 Ngày làm việc)

 

Tỷ lệ thanh toánMức độ nghiêm trọngPhạm vi
 Mức độ nghiêm trọng thấp500 đô la - 1000 đô la
 Mức độ nghiêm trọng trung bình2500 đô la - 5000 đô la
 Mức độ nghiêm trọng cao20.000 đô la - 50.000 đô la
 Mức độ nghiêm trọng đáng kể100.000 đô la - 1.500.000 đô la

Thống kê về chương trình

  • 19 báo cáo đã được khen thưởng trong năm qua
  • 424 báo cáo đã được gửi trong năm qua
  • Khoản thanh toán trung bình 2342 đô la  trong năm qua

Bức tường danh vọng

Xem bên dưới để biết một số nhà nghiên cứu trước đây đã được thưởng thông qua chương trình Phần thưởng phát hiện lỗi của Kraken.

Bức tường danh vọngNhà nghiên cứuSố tiền thưởng
Người được tuyển chọnDevendra Hyalij - Twitter60.100 đô la
bug_bounty][0d8de70af19f][field_table_row_headerRedacted*$50500
 UGWST - Twitter40.000 đô la
 Đã được biên tập lại*20.000 đô la
 Đã được biên tập lại*20.000 đô la
 Đã được biên tập lại*20.000 đô la
 Đã được biên tập lại*18.000 đô la
 Md Al Nafis Aqil Haque11.000 đô la
 Đã được biên tập lại*$10,000
 Đã được biên tập lại*$10,000
 Đã được biên tập lại*$10,000
 
*Tên nhà nghiên cứu được giữ kín theo yêu cầu
 
Thông tin này được cập nhật hàng quý.

Xếp hạng lỗ hổng

Nghiêm trọng

Các vấn đề nghiêm trọng gây ra rủi ro trực tiếp và ngay lập tức cho nhiều người dùng của chúng tôi hoặc cho chính Kraken. Chúng thường ảnh hưởng đến các thành phần cơ bản/cấp độ tương đối thấp trong một trong các ngăn xếp ứng dụng hoặc cơ sở hạ tầng của chúng tôi. Ví dụ:

  • thực thi mã/lệnh tùy ý trên máy chủ trong mạng sản xuất của chúng tôi.
  • truy vấn tùy ý trên cơ sở dữ liệu sản xuất.
  • bỏ qua quy trình đăng nhập của chúng tôi, mật khẩu hoặc xác minh 2 bước.
  • truy cập vào dữ liệu người dùng sản xuất nhạy cảm hoặc truy cập vào hệ thống sản xuất nội bộ.

 

Cao

Với các sự cố có mức độ nghiêm trọng cao, kẻ tấn công có thể đọc hoặc sửa đổi dữ liệu có độ nhạy cảm cao mà họ không được phép truy cập. Nhìn chung, các sự cố này có phạm vi hẹp hơn so với các sự cố nghiêm trọng, mặc dù vẫn có thể khiến kẻ tấn công lấy được quyền truy cập bao quát. Ví dụ:

  • XSS bỏ qua CSP
  • Khám phá dữ liệu nhạy cảm của người dùng trong nguồn thông tin được hiển thị công khai
  • Nhận quyền truy cập vào một hệ thống không quan trọng mà tài khoản người dùng cuối không có quyền truy cập

 

Trung bình

Với các sự cố có mức độ nghiêm trọng trung bình, kẻ tấn công có thể đọc hoặc sửa đổi lượng dữ liệu giới hạn mà họ không được phép truy cập. Các sự cố này thường cấp quyền truy cập vào thông tin ít nhạy cảm hơn so với các sự cố có mức độ nghiêm trọng cao. Ví dụ:

  • Tiết lộ thông tin không nhạy cảm từ hệ thống sản xuất mà người dùng không có quyền truy cập
  • XSS không bỏ qua CSP hoặc không thực hiện các hành động nhạy cảm trong phiên của người dùng khác
  • CSRF cho các hành động có rủi ro thấp

 

Thấp

Với các sự cố có mức độ nghiêm trọng thấp, kẻ tấn công có thể truy cập vào lượng dữ liệu cực kỳ hạn chế. Chúng có thể sẽ vi phạm kỳ vọng về cách thức hoạt động của một thứ gì đó, nhưng gần như không cho phép có được đặc quyền cao hơn hoặc khả năng kích hoạt hành vi ngoài ý muốn của kẻ tấn công. Ví dụ:

  • Kích hoạt các trang lỗi dài dòng hoặc gỡ lỗi mà không có bằng chứng về khả năng khai thác hoặc thu thập thông tin nhạy cảm.

 

Không đủ điều kiện

Các báo cáo mà chúng tôi không quan tâm và không đủ điều kiện nhận thưởng bao gồm:

  • Lỗ hổng trên các trang web do bên thứ ba lưu trữ (support.kraken.com, v.v.), trừ khi chúng dẫn đến lỗ hổng trên trang web chính. Lỗ hổng và lỗi trên blog của Kraken (blog.kraken.com).
  • Lỗ hổng liên quan đến tấn công vật lý, tấn công phi kỹ thuật, gửi thư rác, tấn công DDOS, v.v.
  • Lỗ hổng ảnh hưởng đến trình duyệt lỗi thời hoặc chưa được vá.
  • Lỗ hổng trong các ứng dụng của bên thứ ba sử dụng API của Kraken.
  • Lỗ hổng được tiết lộ công khai trong thư viện hoặc công nghệ của bên thứ ba dùng trong các sản phẩm, dịch vụ hoặc cơ sở hạ tầng của Kraken sớm hơn 30 ngày sau khi vấn đề được tiết lộ công khai.
  • Lỗ hổng đã được phát hành công khai trước khi Kraken đưa ra bản sửa lỗi toàn diện.
  • Lỗ hổng mà chúng tôi đã biết hoặc đã được người khác báo cáo (phần thưởng sẽ thuộc về người báo cáo đầu tiên).
  • Các vấn đề không thể tái tạo được.
  • Lỗ hổng yêu cầu mức độ tương tác người dùng không thể xảy ra.
  • Lỗ hổng yêu cầu root/bẻ khóa trên thiết bị di động.
  • Thiếu tiêu đề bảo mật mà không có bằng chứng về khả năng khai thác.
  • Cung cấp Bộ mật mã TLS.
  • Đề xuất về các biện pháp tốt nhất.
  • Công bố phiên bản phần mềm.
  • Bất kỳ báo cáo nào không có hướng dẫn chi tiết từng bước bằng chứng kèm theo về việc khai thác ý tưởng.
  • Những vấn đề mà chúng tôi không thể giải quyết được một cách hợp lý, chẳng hạn như các vấn đề về thông số kỹ thuật mà Kraken phải triển khai để tuân thủ các tiêu chuẩn đó.
  • Đầu ra từ các công cụ/máy quét tự động hoặc các báo cáo do AI tạo.
  • Các vấn đề không có bất kỳ tác động nào đến bảo mật.

 

Các vấn đề không liên quan đến bảo mật

Bạn có thể thông báo cho chúng tôi về các vấn đề không liên quan đến bảo mật tại https://support.kraken.com.