Nhận Bitcoin 
cho việc phát hiện lỗi

Được thành lập vào năm 2011, Sàn giao dịch tài sản kỹ thuật số Kraken là một trong những sàn giao dịch bitcoin lớn nhất và lâu đời nhất trên thế giới với nhiều lựa chọn tài sản kỹ thuật số và tiền tệ quốc gia nhất. Có trụ sở tại San Francisco với các văn phòng trên khắp thế giới, nền tảng giao dịch của Kraken liên tục được các phương tiện truyền thông tin tức độc lập đánh giá là sàn giao dịch tài sản kỹ thuật số tốt nhất và an toàn nhất. Được tin cậy bởi hàng trăm nghìn nhà giao dịch, tổ chức và chính quyền, bao gồm cả Ngân hàng Fidor do BaFin quản lý của Đức, Kraken là sàn giao dịch đầu tiên hiển thị dữ liệu thị trường của mình trên Bloomberg Terminal, vượt qua kiểm tra bằng chứng dự trữ có thể xác minh bằng mật mã và là sàn đầu tiên cung cấp giao dịch giao ngay với ký quỹ. Các nhà đầu tư của Kraken bao gồm Blockchain Capital, Digital Currency Group, Hummingbird Ventures và Money Partners Group.

Kraken vô cùng tin tưởng vào giá trị của các chuyên gia bảo mật và lập trình viên hỗ trợ trong việc giữ an toàn cho sản phẩm và người dùng của chúng tôi. Kraken đã tạo ra chương trình Phần Thưởng Phát Hiện Lỗi (Bug Bounty Program) và khuyến khích sử dụng nó như một trách nhiệm cho việc báo cáo tất cả điểm yếu về bảo mật. Chương trình Phần Thưởng Phát Hiện Lỗi giúp Kraken thực hiện sứ mệnh của mình bằng cách giúp chúng tôi trở thành một công ty đáng tin cậy nhất trong thị trường tiền kỹ thuật số.

Kraken đồng ý không khởi xướng hành động pháp lý đối với nghiên cứu bảo mật được thực hiện theo tất cả các chính sách Kraken Bug Bounty đã đăng, bao gồm cả thiện chí, vi phạm không chủ ý. Chúng tôi tin rằng các hành động được thực hiện nhất quán với chính sách này được "uỷ thác" bởi Đạo luật Lừa đảo và Lạm dụng trên Máy tính (Computer Fraud and Abuse Act), DMCA và tất cả luật pháp chống gian lận có thể áp dụng ví dụ như Cal. Penal Code 503(c). Chúng tôi sẽ không đưa ra yêu cầu chống lại những người nghiên cứu việc phá vỡ các biện pháp công nghệ mà chúng tôi dùng để bảo vệ ứng dụng trong phạm vi Chương trình Phần Thưởng Pháp Hiện Lỗi

Những người nghiên cứu bắt buộc phải đưa ra thông báo trước khi đưa ra hành động có thể không thống nhất hoặc chưa được làm rõ trong chính sách.

Tất cả các lần gửi tiền thưởng đều được Kraken xếp hạng và thanh toán dựa trên xếp hạng lỗ hổng bảo mật. Tất cả các khoản thanh toán sẽ được tiến hành bằng BTC và được xác định là nguyên tắc và có thể thay đổi.

• Tất cả các báo cáo lỗi phải được gửi tới [email protected]
• Yêu cầu thanh toán để đổi lấy thông tin chi tiết về lỗ hổng bảo mật sẽ dẫn đến việc thanh toán tiền thưởng ngay lập tức không đủ điều kiện. 
• Nếu chúng tôi không thể tái tạo các phát hiện của bạn, báo cáo của bạn sẽ không đủ điều kiện để thanh toán. Chúng tôi yêu cầu bạn cung cấp báo cáo chi tiết nhất có thể với tất cả các bước cần thiết để tái tạo các phát hiện của bạn. 
• Bao gồm Địa chỉ Bitcoin (BTC) của bạn để Thanh toán. Tất cả phần thưởng sẽ được phát hành bằng Bitcoin.
• Khoản thanh toán tối thiểu là Bitcoin (BTC)   tương đương với $500 USD.

Quan trọng

Các vấn đề nghiêm trọng nghiêm trọng mang đến rủi ro trực tiếp và tức thì cho nhiều người dùng của chúng tôi hoặc cho chính Kraken. Chúng thường ảnh hưởng đến các thành phần cơ bản/cấp tương đối thấp trong một trong các cơ sở hạ tầng hoặc ngăn xếp ứng dụng của chúng tôi. Ví dụ:

• thực thi mã/lệnh tùy ý trên máy chủ trong mạng sản xuất của chúng tôi.
• truy vấn tùy ý trên cơ sở dữ liệu sản xuất.
• bỏ qua quy trình đăng nhập của chúng tôi, mật khẩu hoặc 2FA.
• truy cập vào dữ liệu người dùng sản xuất nhạy cảm hoặc truy cập vào hệ thống sản xuất nội bộ.

Cao

Các sự cố nghiêm trọng cao cho phép kẻ tấn công đọc hoặc sửa đổi dữ liệu nhạy cảm cao mà chúng không được phép truy cập. Nhìn chung, chúng có phạm vi hẹp hơn các vấn đề quan trọng, mặc dù chúng vẫn có thể cấp cho kẻ tấn công quyền truy cập rộng rãi. Ví dụ:

• XSS bỏ qua CSP
• Khám phá dữ liệu nhạy cảm của người dùng trong tài nguyên được công khai
• Truy cập vào hệ thống không quan trọng, mà tài khoản người dùng cuối không được phép truy cập

Trung Bình

Các vấn đề có mức độ nghiêm trọng trung bình cho phép kẻ tấn công đọc hoặc sửa đổi lượng dữ liệu hạn chế mà chúng không được phép truy cập. Họ thường cấp quyền truy cập thông tin ít nhạy cảm hơn là các vấn đề nghiêm trọng. Ví dụ:

• Tiết lộ thông tin không nhạy cảm từ hệ thống sản xuất mà người dùng không nên có quyền truy cập vào
• XSS không bỏ qua CSP hoặc không thực hiện các hành động nhạy cảm trong phiên của người dùng khác
• CSRF cho các hành động rủi ro thấp

Thấp

Các vấn đề có mức độ nghiêm trọng thấp cho phép kẻ tấn công truy cập vào lượng dữ liệu cực kỳ hạn chế. Họ có thể vi phạm kỳ vọng về cách thức hoạt động của một thứ gì đó, nhưng điều đó cho phép kẻ tấn công gần như không leo thang đặc quyền hoặc khả năng kích hoạt hành vi không mong muốn. Ví dụ:

• Kích hoạt các trang lỗi dài dòng hoặc gỡ lỗi mà không có bằng chứng về khả năng khai thác hoặc lấy thông tin nhạy cảm.

Không đủ điều kiện

Các báo cáo mà chúng tôi không quan tâm bao gồm:

• Các lỗ hổng bảo mật trên các trang web do bên thứ ba lưu trữ (support.kraken.com, v.v.) trừ khi chúng dẫn đến một lỗ hổng trên trang web chính. Các lỗ hổng và lỗi trên blog Kraken (blog.kraken.com)
• Các lỗ hổng phụ thuộc vào tấn công vật lý, kỹ thuật xã hội, gửi thư rác, tấn công DDOS, v.v.
• Các lỗ hổng bảo mật ảnh hưởng đến các trình duyệt đã lỗi thời hoặc chưa được vá.
• Các lỗ hổng trong các ứng dụng của bên thứ ba sử dụng API của Kraken.
• Các lỗ hổng chưa được điều tra và báo cáo một cách có trách nhiệm.
• Các lỗ hổng đã được chúng tôi biết hoặc đã được người khác báo cáo (phần thưởng sẽ thuộc về người báo cáo đầu tiên). Các vấn đề không thể tái tạo.
• Các lỗ hổng đòi hỏi mức độ tương tác của người dùng không thể tránh khỏi.
• Các lỗ hổng yêu cầu root/jailbreak trên thiết bị di động.
• Thiếu tiêu đề bảo mật mà không có bằng chứng về khả năng khai thác.
• Cung cấp Bộ mật mã TLS.
• Đề xuất về các phương pháp hay nhất.
• Tiết lộ phiên bản phần mềm.
• Bất kỳ báo cáo nào không kèm theo bằng chứng về khái niệm việc khai thác
• Những vấn đề mà chúng tôi không thể mong đợi một cách hợp lý để giải quyết.
• Kết quả từ các công cụ / máy quét tự động.
• Các vấn đề mà không có bất kỳ tác động bảo mật nào.

Các vấn đề không liên quan đến Bảo mật

Bạn có thể cho chúng tôi biết về các vấn đề không liên quan đến bảo mật tại https://support.kraken.com.

• 84 reports rewarded in the last year
• 1127 reports submitted in the last year
• $998 average payout in the last year

See below some of the researchers who have been previously rewarded through Kraken's Bug Bounty program.

Critical

Critical severity issues present a direct and immediate risk to a broad array of our users or to Kraken itself. They often affect relatively low-level /foundational components in one of our application stacks or infrastructure. For example:

• arbitrary code/command execution on a server in our production network.
• arbitrary queries on a production database.
• bypassing our sign-in process, either password or 2FA.
• access to sensitive production user data or access to internal production systems.

High

High severity issues allow an attacker to read or modify highly sensitive data that they are not authorized to access. They are generally more narrow in scope than critical issues, though they may still grant an attacker extensive access. For example:

• XSS which bypasses CSP
• Discovering sensitive user data in a publicly exposed resource
• Gaining access to a non-critical, system to which an end user account should not have access

Medium

Medium severity issues allow an attacker to read or modify limited amounts of data that they are not authorized to access. They generally grant access to less sensitive information than high severity issues. For example:

• Disclosing non-sensitive information from a production system to which the user should not have access
• XSS that does not bypass CSP or does not execute sensitive actions in another user’s session
• CSRF for low risk actions

Low

Low severity issues allow an attacker to access extremely limited amounts of data. They may violate an expectation for how something is intended to work, but it allows nearly no escalation of privilege or ability to trigger unintended behavior by an attacker. For example:

• Triggering verbose or debug error pages without proof of exploitability or obtaining sensitive information.

Ineligibility

Reports in which we are not interested include:

• Vulnerabilities on sites hosted by third parties (support.kraken.com, etc) unless they lead to a vulnerability on the main website. Vulnerabilities and bugs on the Kraken blog (blog.kraken.com)
• Vulnerabilities contingent on physical attack, social engineering, spamming, DDOS attack, etc.
• Vulnerabilities affecting outdated or unpatched browsers.
• Vulnerabilities in third party applications that make use of Kraken's API.
• Vulnerabilities publicly disclosed in third party libraries or technology used in Kraken products, services, or infrastructure earlier than 30 days after the public disclosure of the issue
• Vulnerabilities that have been released publicly prior to Kraken issuing a comprehensive fix.
• Vulnerabilities already known to us, or already reported by someone else (reward goes to first reporter). Issues that aren't reproducible.
• Vulnerabilities that require an improbable level of user interaction.
• Vulnerabilities that require root/jailbreak on mobile.
• Missing security headers without proof of exploitability.
• TLS Cipher Suites offered.
• Suggestions on best practices.
• Software version disclosure.
• Any report without an accompanying proof of concept exploit.
• Issues that we can't reasonably be expected to do anything about, such as issues in technical specifications that Kraken must implement to conform to those standards.
• The output from automated tools/scanners.
• Issues without any security impact.

Non-security Issues

You can let us know about non-security issues at https://support.kraken.com.