漏洞报告奖励计划

获得 Bitcoin 
查找安全漏洞

漏洞报告奖励计划

获得 Bitcoin 
查找安全漏洞

关于我们

Kraken 数字资产交易平台于 2011 年成立,是全球最大、历史最悠久的 Bitcoin 交易平台之一,拥有最广泛的数字资产和国家货币选择。Kraken 的交易平台位于旧金山,并在全球各地设有分支机构,一直以来,它被独立新闻媒体评为最佳且最安全的数字资产交易平台。Kraken 深受数十万交易者、机构以及权威机构(包括受德国 BaFin 监管的 Fidor 银行)的信赖,是第一家在彭博终端上显示其市场数据并通过可加密验证的储备金证明审计的交易平台,也是第一家提供保证金现货交易的交易平台。Kraken 投资者包括 Blockchain Capital、Digital Currency Group、Hummingbird Ventures 和 Money Partners Group。

漏洞报告奖励计划概述

  • Kraken 鼓励通过我们的漏洞报告奖励计划负责任地披露安全漏洞。
  • 研究人员必须遵守书面政策的要求。此政策无法协商。
  • 关键规则:
    • 真诚行事,避免违反政策。
    • 不要做出证明漏洞所需之外的行为。 
    • 不要进行威胁或索要赎金。
    • 一旦发现并核实漏洞,立即进行报告,包括说明和概念验证漏洞。
  • 研究人员负责遵守所有适用法律的要求。
  • 试图破坏或违反我们的政策将导致立即失去参与该计划的资格。如有威胁或勒索企图,可能会提交给执法部门。
  • 如果您对某件事情不确定,请联系 [email protected] 寻求澄清。

政策

Kraken 坚信,安全专业人员和开发者在协助保护我们的产品和用户安全方面发挥了重要的作用。通过我们的漏洞报告奖励计划,Kraken 建立并鼓励协调漏洞披露 (CVD)。漏洞报告奖励计划可以帮助保护数字货币市场中的客户,从而践行 Kraken 的使命。

查找 Kraken 系统中的漏洞,即表示您同意对所有数据、漏洞信息、您的研究以及与 Kraken 的通信进行严格保密,直至 Kraken 解决问题并授予披露许可。 

如果符合本政策的要求,对于按照所有公布的 Kraken 漏洞报告奖励政策进行的安全研究(包括出于善意的意外违规行为),Kraken 同意不会提起法律诉讼。 

请尽可能创建测试账户,以避免故意侵犯隐私。如果您遇到账户的个人身份信息 (‘PII’) 或其他敏感数据,而您并未获得账户所有者的明确书面同意将这些信息或数据用于验证您的研究结果,请立即停止访问这些数据,并将问题报告给 Kraken,同时附上 PII 或其他敏感数据的描述,而不是数据本身。

根据数据保护法规和我们的隐私政策,您必须:

  • 不得存储或传输其他客户的 PII。如果您碰巧捕获了任何客户 PII,请立即向 Kraken 报告,然后销毁所有不属于您的 PII 副本。 
  • 在研究过程中尽量减少数据的收集和访问。仅收集和保留证明和报告漏洞所必须的信息。 
  • 提交报告并且 Kraken 确认已收到后,立即安全地删除所有收集的数据。
  • 未经 Kraken 明确书面同意,不得向第三方披露任何漏洞或相关信息。这包括但不限于向社交媒体、其他公司或媒体披露。
  • 如果您报告的是数据泄露或数据存储库的位置,而不是安全漏洞,请提供数据的位置,不要进一步访问该数据,也不要与他人共享该数据的位置。

提交的漏洞报告奖励绝不能包含威胁或任何敲诈勒索的企图。我们愿意为合法的研究结果支付奖励,但赎金要求不符合支付报酬的条件。例如,在满足其他要求之前,不发布有关漏洞的信息或以其他方式阻碍漏洞的解决将被视为赎金要求。我们可能会根据法律要求或自愿决定报告任何含有赎金要求的提交的漏洞报告奖励。 

我们认为,根据《计算机欺诈与滥用法》(CFAA)、《数字千年版权法》(DMCA) 以及适用的反黑客法律(例如,《加州刑法典》第 503(c) 条),符合本政策要求的活动可被视为“经授权”的行为。对于研究者规避我们保护漏洞报告奖励计划范围内应用程序所用技术措施的情况,我们不会对其提起诉讼。但是,遵循本政策并不意味着 Kraken 或任何其他个人、组织或政府可以给予国际法律豁免权。个体安全研究者有责任了解并遵守所有适用的反黑客、数据和隐私以及出口管制方面的本地和国际法律。如果第三方对您提起法律诉讼,而您已遵守本政策中的条款,Kraken 将告知相关执法机构或民事原告,据我们所知,您已依照并遵守本计划的条款和条件开展研究活动。

每名研究者在从事可能不符合本政策或本政策未涉及的行为之前均需向我们提交一份通知。我们欢迎大家政策说明提出各种建议,以帮助研究者满怀信心地开展研究和报告工作。

奖励

所有提交的奖励均由 Kraken 评级,并根据漏洞评级予以支付报酬。所有支付的报酬均以 BTC 为单位记入您经过验证的 Kraken 账户,并被定义为指导原则,且可能会发生变化。

  • 所有漏洞报告必须提交至该计划的唯一官方联系人[email protected]。请勿通过外部网站提交漏洞详情。任何外部网站或门户网站均为非官方网址,且未经 Kraken 批准。
  • 要获取漏洞报告奖励报酬,您必须:
  • 要求以漏洞详情换取报酬或其他感谢的行为将会导致立即被取消获取奖励报酬的资格。不发布漏洞详情也会导致立即被取消获取奖励报酬的资格。
  • 提供再现漏洞的详细说明和概念验证。 
  • 如果我们无法重现您的发现结果,您的报告将不符合支付报酬的条件。只利用可证明漏洞安全性所需的资源,并迅速归还任何已提取的资产。
  • 禁止向其他个人披露漏洞。
  • 任何试图绕过本政策所述程序的行为都将会导致立即被取消获取奖励报酬的资格。 
  • 请附上您的 Bitcoin (BTC) 付款地址。所有奖励将以 Bitcoin的形式发放。
  • 最低付款额的定义如下。Kraken 可以自行决定修改所有付款。
  • 支付的最低报酬会以相当于 $500 USD 的 Bitcoin (BTC) 形式发放。

提交过程

通过以下步骤提交漏洞报告奖励:

1.将报告提交到漏洞报告奖励邮箱

2.Kraken 安全部门确认提交内容(SLA 1 个工作日)

3.Kraken 安全部门对提交内容进行分类(SLA 10 个工作日)

4.Kraken 安全部门发送响应和决定,如果被视为漏洞,通知将包括严重程度和奖励金额(我们将要求提供 BTC 地址)

5.对于安全漏洞,Kraken 将发送奖励(SLA 14 个工作日)

 

支出标准严重程度范围
 低危$500-$1000
 中危$2500-$5000
 高危$20,000-$50,000
 严重$100,000-$1,500,000

计划统计数据

  • 上一年有 26 份报告获得奖励
  • 上一年提交了 434 份报告
  • 上一年平均支出了 $3962

名人墙

下面是一些曾经通过 Kraken 的漏洞报告奖励计划获得奖励的研究者。

名人墙研究者奖励金额
应征者Devendra Hyalij - Twitter$60,100
Redacted*$50,500
 UGWST - Twitter$40,000
 已编辑*$20,500
 已编辑*$20,000
 已编辑*$20,000
 已编辑*$18,500
 Md Al Nafis Aqil Haque$11,000
 已编辑*$10,000
 已编辑*$10,000
 已编辑*$10,000
 
*研究者姓名根据要求不予公布
 
此类信息每季度更新一次。

漏洞评级

严重

严重问题会给我们的广大用户或 Kraken 自身带来直接的即时风险。通常会影响我们的应用程序栈或基础设施中相对较低级/基础的组件。例如:

  • 在我们的生产网络服务器上执行任意代码/命令。
  • 对生产数据库进行任意查询。
  • 绕过我们的登录流程(密码或 2FA)。
  • 访问敏感的生产用户数据或访问内部生产系统。

 

高危问题允许攻击者读取或修改其无权访问的高度敏感数据。与严重问题相比,高危问题的范围通常更窄,但此类问题仍然可能给予攻击者广泛的访问权限。例如:

  • 绕过 CSP 的 XSS
  • 在公开披露的资源中发现敏感的用户数据
  • 访问最终用户账户不应访问的非关键系统

 

中度

中危问题允许攻击者读取或修改他们未获授权访问的有限数据。与高危问题相比,中危问题通常允许访问的敏感信息较少。例如:

  • 披露用户不应访问的生产系统中的非敏感信息
  • 不绕过 CSP 或者不在其他用户的会话中执行敏感操作的 XSS
  • 低风险操作的 CSRF

 

低危问题允许攻击者访问极其有限的数据。它们可能会违反人们对某项工作方式的预期,但几乎不允许权限升级,也无法触发攻击者的意外行为。例如:

  • 在没有可利用性证明或获取敏感信息的情况下,触发详细或调试错误页面。

 

无资格

我们不感兴趣且不符合奖励资格的报告包括:

  • 第三方托管网站(support.kraken.com 等)上的漏洞,除非这些漏洞会导致主网站出现漏洞。Kraken 博客 (blog.kraken.com) 上的漏洞和错误。
  • 取决于物理攻击、社交工程、垃圾电子邮件、DDOS 攻击等的漏洞。
  • 对过时或没有应用补丁的浏览器有影响的漏洞。
  • 使用 Kraken 的 API 的第三方应用程序中的漏洞。
  • 在 Kraken 产品、服务或基础设施中使用的第三方库或技术中公开披露的漏洞,时间早于问题公开披露后的 30 天。
  • 在 Kraken 发布全面修复之前已公开发布的漏洞。
  • 我们已经知道或其他人已经报告的漏洞(第一名报告者有奖励)。
  • 不可复制的问题。
  • 需要不大可能发生的用户交互的漏洞。
  • 需要手机进行 root/越狱的漏洞。
  • 缺少安全标头,没有可利用性证明。
  • 提供的 TLS 密码套件。
  • 关于最佳做法的建议。
  • 软件版本披露。
  • 任何没有附带详细逐步说明相应概念验证漏洞的报告。
  • 我们不能合理预期进行解决的问题,例如,Kraken 为符合这些标准而必须实施的技术规范中的问题。
  • 自动工具/扫描仪或人工智能生成的报告的输出信息。
  • 没有任何安全影响的问题。

 

非安全性问题

您可以通过 https://support.kraken.com 向我们报告非安全性问题。