Kraken

Phần thưởng phát hiện lỗi

Nhận Bitcoin 
cho việc phát hiện lỗi

Về chúng tôi

Được thành lập vào năm 2011, Sàn giao dịch tài sản kỹ thuật số Kraken là một trong những sàn giao dịch bitcoin lớn nhất và lâu đời nhất trên thế giới với nhiều lựa chọn tài sản kỹ thuật số và tiền tệ quốc gia nhất. Có trụ sở tại San Francisco với các văn phòng trên khắp thế giới, nền tảng giao dịch của Kraken liên tục được các phương tiện truyền thông tin tức độc lập đánh giá là sàn giao dịch tài sản kỹ thuật số tốt nhất và an toàn nhất. Được tin cậy bởi hàng trăm nghìn nhà giao dịch, tổ chức và chính quyền, bao gồm cả Ngân hàng Fidor do BaFin quản lý của Đức, Kraken là sàn giao dịch đầu tiên hiển thị dữ liệu thị trường của mình trên Bloomberg Terminal, vượt qua kiểm tra bằng chứng dự trữ có thể xác minh bằng mật mã và là sàn đầu tiên cung cấp giao dịch giao ngay với ký quỹ. Các nhà đầu tư của Kraken bao gồm Blockchain Capital, Digital Currency Group, Hummingbird Ventures và Money Partners Group.

Chính sách

Kraken vô cùng tin tưởng vào giá trị của các chuyên gia bảo mật và lập trình viên hỗ trợ trong việc giữ an toàn cho sản phẩm và người dùng của chúng tôi. Kraken đã tạo ra chương trình Phần Thưởng Phát Hiện Lỗi (Bug Bounty Program) và khuyến khích sử dụng nó như một trách nhiệm cho việc báo cáo tất cả điểm yếu về bảo mật. Chương trình Phần Thưởng Phát Hiện Lỗi giúp Kraken thực hiện sứ mệnh của mình bằng cách giúp chúng tôi trở thành một công ty đáng tin cậy nhất trong thị trường tiền kỹ thuật số.

Kraken đồng ý không khởi xướng hành động pháp lý đối với nghiên cứu bảo mật được thực hiện theo tất cả các chính sách Kraken Bug Bounty đã đăng, bao gồm cả thiện chí, vi phạm không chủ ý. Chúng tôi tin rằng các hành động được thực hiện nhất quán với chính sách này được "uỷ thác" bởi Đạo luật Lừa đảo và Lạm dụng trên Máy tính (Computer Fraud and Abuse Act), DMCA và tất cả luật pháp chống gian lận có thể áp dụng ví dụ như Cal. Penal Code 503(c). Chúng tôi sẽ không đưa ra yêu cầu chống lại những người nghiên cứu việc phá vỡ các biện pháp công nghệ mà chúng tôi dùng để bảo vệ ứng dụng trong phạm vi Chương trình Phần Thưởng Pháp Hiện Lỗi

Những người nghiên cứu bắt buộc phải đưa ra thông báo trước khi đưa ra hành động có thể không thống nhất hoặc chưa được làm rõ trong chính sách.

Phần thưởng

Tất cả các lần gửi tiền thưởng đều được Kraken xếp hạng và thanh toán dựa trên xếp hạng lỗ hổng bảo mật. Tất cả các khoản thanh toán sẽ được tiến hành bằng BTC và được xác định là nguyên tắc và có thể thay đổi.

  • Tất cả các báo cáo lỗi phải được gửi tới bugbounty@kraken.com
  • Yêu cầu thanh toán để đổi lấy thông tin chi tiết về lỗ hổng bảo mật sẽ dẫn đến việc thanh toán tiền thưởng ngay lập tức không đủ điều kiện. 
  • Nếu chúng tôi không thể tái tạo các phát hiện của bạn, báo cáo của bạn sẽ không đủ điều kiện để thanh toán. Chúng tôi yêu cầu bạn cung cấp báo cáo chi tiết nhất có thể với tất cả các bước cần thiết để tái tạo các phát hiện của bạn. 
  • Bao gồm Địa chỉ Bitcoin (BTC) của bạn để Thanh toán. Tất cả phần thưởng sẽ được phát hành bằng Bitcoin.
  • Khoản thanh toán tối thiểu là Bitcoin (BTC)   tương đương với $500 USD.

Xếp hạng Lỗ hổng bảo mật

Quan trọng

Các vấn đề nghiêm trọng nghiêm trọng mang đến rủi ro trực tiếp và tức thì cho nhiều người dùng của chúng tôi hoặc cho chính Kraken. Chúng thường ảnh hưởng đến các thành phần cơ bản/cấp tương đối thấp trong một trong các cơ sở hạ tầng hoặc ngăn xếp ứng dụng của chúng tôi. Ví dụ:

  • thực thi mã/lệnh tùy ý trên máy chủ trong mạng sản xuất của chúng tôi.
  • truy vấn tùy ý trên cơ sở dữ liệu sản xuất.
  • bỏ qua quy trình đăng nhập của chúng tôi, mật khẩu hoặc 2FA.
  • truy cập vào dữ liệu người dùng sản xuất nhạy cảm hoặc truy cập vào hệ thống sản xuất nội bộ.

 

Cao

Các sự cố nghiêm trọng cao cho phép kẻ tấn công đọc hoặc sửa đổi dữ liệu nhạy cảm cao mà chúng không được phép truy cập. Nhìn chung, chúng có phạm vi hẹp hơn các vấn đề quan trọng, mặc dù chúng vẫn có thể cấp cho kẻ tấn công quyền truy cập rộng rãi. Ví dụ:

  • XSS bỏ qua CSP
  • Khám phá dữ liệu nhạy cảm của người dùng trong tài nguyên được công khai
  • Truy cập vào hệ thống không quan trọng, mà tài khoản người dùng cuối không được phép truy cập

 

Trung Bình

Các vấn đề có mức độ nghiêm trọng trung bình cho phép kẻ tấn công đọc hoặc sửa đổi lượng dữ liệu hạn chế mà chúng không được phép truy cập. Họ thường cấp quyền truy cập thông tin ít nhạy cảm hơn là các vấn đề nghiêm trọng. Ví dụ:

  • Tiết lộ thông tin không nhạy cảm từ hệ thống sản xuất mà người dùng không nên có quyền truy cập vào
  • XSS không bỏ qua CSP hoặc không thực hiện các hành động nhạy cảm trong phiên của người dùng khác
  • CSRF cho các hành động rủi ro thấp

 

Thấp

Các vấn đề có mức độ nghiêm trọng thấp cho phép kẻ tấn công truy cập vào lượng dữ liệu cực kỳ hạn chế. Họ có thể vi phạm kỳ vọng về cách thức hoạt động của một thứ gì đó, nhưng điều đó cho phép kẻ tấn công gần như không leo thang đặc quyền hoặc khả năng kích hoạt hành vi không mong muốn. Ví dụ:

  • Kích hoạt các trang lỗi dài dòng hoặc gỡ lỗi mà không có bằng chứng về khả năng khai thác hoặc lấy thông tin nhạy cảm.

 

Không đủ điều kiện

Các báo cáo mà chúng tôi không quan tâm bao gồm:

  • Các lỗ hổng bảo mật trên các trang web do bên thứ ba lưu trữ (support.kraken.com, v.v.) trừ khi chúng dẫn đến một lỗ hổng trên trang web chính. Các lỗ hổng và lỗi trên blog Kraken (blog.kraken.com)
  • Các lỗ hổng phụ thuộc vào tấn công vật lý, kỹ thuật xã hội, gửi thư rác, tấn công DDOS, v.v.
  • Các lỗ hổng bảo mật ảnh hưởng đến các trình duyệt đã lỗi thời hoặc chưa được vá.
  • Các lỗ hổng trong các ứng dụng của bên thứ ba sử dụng API của Kraken.
  • Các lỗ hổng chưa được điều tra và báo cáo một cách có trách nhiệm.
  • Các lỗ hổng đã được chúng tôi biết hoặc đã được người khác báo cáo (phần thưởng sẽ thuộc về người báo cáo đầu tiên). Các vấn đề không thể tái tạo.
  • Các lỗ hổng đòi hỏi mức độ tương tác của người dùng không thể tránh khỏi.
  • Các lỗ hổng yêu cầu root/jailbreak trên thiết bị di động.
  • Thiếu tiêu đề bảo mật mà không có bằng chứng về khả năng khai thác.
  • Cung cấp Bộ mật mã TLS.
  • Đề xuất về các phương pháp hay nhất.
  • Tiết lộ phiên bản phần mềm.
  • Bất kỳ báo cáo nào không kèm theo bằng chứng về khái niệm việc khai thác
  • Những vấn đề mà chúng tôi không thể mong đợi một cách hợp lý để giải quyết.
  • Kết quả từ các công cụ / máy quét tự động.
  • Các vấn đề mà không có bất kỳ tác động bảo mật nào.

 

Các vấn đề không liên quan đến Bảo mật

Bạn có thể cho chúng tôi biết về các vấn đề không liên quan đến bảo mật tại https://support.kraken.com.