漏洞报告奖励
虽然我们的专家团队已尽一切努力修复我们系统中的所有漏洞,但我们总有可能错过一个构成重大纰漏的漏洞。 如果您发现了漏洞(bug),我们感谢您负责任地调查并向我们报告,这方便了我们可以尽快解决这些问题。 对于重大bug,我们会在名人墙上提供奖励和表彰(见下图)。
负责任的调查和报告
负责任的调查和报告包括但不限于以下内容:
- 不侵犯其他用户的隐私,破坏数据,破坏我们的服务等
- 在调查错误的过程中仅定位您自己的帐户。 不要定位,尝试访问或以其他方式破坏其他用户的帐户
- 不要针对我们的物理安全措施,或尝试使用社交工程,垃圾邮件,分布式拒绝服务(DDOS)攻击等
- 最初只向我们报告错误,而不是向其他任何人报告错误
- 给我们一个合理的时间来修复错误,然后再将错误透露给其他任何人,并在向其他任何人透露之前给我们足够的书面警告
一般而言,请以合理,诚信的方式调查和报告漏洞,以免对我们或我们的用户造成破坏或伤害。否则,您的行为可能会被解释为攻击,而不是努力提供帮助。
合格
一般来说,举报任何对我们网站的安全性或我们的交易系统的完整性构成重大损害的漏洞都有资格获得奖励。 但一个漏洞是否足够重要到有资格获得奖励完全由我们决定。
通常符合条件的安全问题(不一定在所有情况下)包括:
- 跨站请求伪造 (CSRF)
- 跨站脚本 (XSS)
- 代码注入
- 远程执行代码
- 特权升级
- 身份验证绕过
- 点击劫持
- 敏感数据泄漏
不合格
不符合奖励条件的事项包括:
- 由第三方托管的网站上的bug (support.kraken.com, etc) 除非它们能导致主网站上的bug
- Kraken博客上的漏洞和弱点 (blog.kraken.com)
- 物理攻击,社交工程,垃圾邮件,DDOS攻击等附随的bug
- 影响过时或未修补的浏览器的漏洞
- 第三方应用程序中使用Kraken API的漏洞
- 还没有被负责任地调查和报告过的漏洞
- 我们已经知道的漏洞,或者已经被其他人报告的错误(奖励给第一位举报者)
- 无法再现的漏洞
- 完全不应该由我们来处理的问题
奖励
- 符合条件的漏洞的最低奖励是100美元等值的比特币
- 超出最低限度的奖励由我们单方面决定,但我们将为特别严重的漏洞支付更多费用
- 每个漏洞只会被奖励一次
如何报错
- 把你的纠错报告发送至 bugbounty@kraken.com
- 尽可能在报告中包含尽可能多的信息,包括对漏洞的描述,其潜在影响,再现它的步骤或概念证明
- 包括您希望它出现在我们的名人墙上的您的姓名和链接(可选)
- 包括您的比特币地址以便付款
- 在发送另一封电子邮件之前,请允许我们在2个工作日内回复