Bug Bounty

Få Bitcoin 
for at finde sikkerhedstrusler

Tilmeld dig
Bug Bounty

Få Bitcoin 
for at finde sikkerhedstrusler

Tilmeld dig

Bug Bounty-programmet: Oversigt

  • Kraken tilskynder til ansvarlig offentliggørelse af sikkerhedsproblemer gennem vores Bug Bounty-program.
  • Deltagerne skal følge den skriftlige politik. Denne politik er ikke til forhandling.
  • De vigtigste regler:
    • At handle i god tro og undgå brud på politikken.
    • Ikke gøre mere end nødvendigt for at påvise en sårbarhed. 
    • Ikke fremsætte trusler eller afpresning.
    • At rapportere sårbarheder, herunder instruktioner og bevis for udnyttelse af konceptet, så snart de bliver opdaget og bekræftet.
  • Deltagerne er ansvarlige for at overholde al gældende lovgivning.
  • Forsøg på at omgå eller overtræde vores politik vil medføre øjeblikkelig udelukkelse fra dette program. Trusler eller forsøg på afpresning kan blive indberettet til politiet.
  • Hvis du er i tvivl om noget, bedes du kontakte os pr. email:[email protected] for at få en afklaring.

Politik

Kraken tror fast på værdien ved sikkerhedseksperter og udviklere, der hjælper med at beskytte vores produkter og brugere. Kraken har etableret og tilskynder til koordineret sårbarhedsoplysning (CVD) via vores Bug Bounty-program. Bug Bounty-programmet understøtter Krakens budskab ved at beskytte kunderne på markedet for digitale valutaer.

Når du leder efter fejl i Krakens systemer, accepterer du at behandle alle data, oplysninger om sårbarheder, din forskning og kommunikation med Kraken strengt fortroligt, indtil Kraken har løst problemet og givet tilladelse til offentliggørelse. 

Når kravene i denne politik overholdes, accepterer Kraken ikke at indlede retslige procedurer for sikkerhedsundersøgelser, der er udført i overensstemmelse med alle Krakens offentliggjorte Bug Bounty-politikker, herunder i god tro, samt utilsigtede overtrædelser. 

Undgå forsætlige krænkelser af privatlivets fred ved at oprette testkonti, når det er muligt. Hvis du støder på personligt identificerbare oplysninger ("PII") eller andre følsomme data for konti, hvis ejere du ikke har udtrykkelig skriftlig tilladelse fra til at bruge til at bekræfte dine fund, skal du straks stoppe med at tilgå disse data og rapportere problemet til Kraken med en beskrivelse af PII eller andre følsomme data – ikke af selve dataene.

I overensstemmelse med reglerne for databeskyttelse samt vores privatlivspolitik skal du:

  • Ikke gemme eller overføre andre personligt identificerbare oplysninger ("PII"). Hvis du skulle komme til at indsamle personlige oplysninger (PII)om en kunde, skal du straks rapportere det til Kraken og derefter destruere alle kopier af personlige oplysninger (PII), der ikke tilhører dig. 
  • Minimere dataindsamling og -adgang under din undersøgelse. Kun indsamle og opbevare oplysninger, der er absolut nødvendige for at påvise og rapportere sårbarheden. 
  • Omgående og forsvarligt slette alle indsamlede data, når rapporten er indsendt, og Kraken har bekræftet, at den er modtaget.
  • Ikke videregive sårbarheder eller tilknyttede oplysninger til tredjeparter uden Krakens udtrykkelige skriftlige samtykke. Dette omfatter, men er ikke begrænset til, sociale medier, andre virksomheder eller pressen.
  • Hvis du rapporterer et databrud eller et datalagers placering i stedet for en sikkerhedsrisiko, skal du angive dataenes placering, ikke tilgå dem yderligere eller dele deres placering med andre.

En Bug Bounty-indberetning må aldrig indeholde trusler eller forsøg på afpresning. Vi er åbne for at betale dusører for legitime fund, men krav om løsesummer er ikke berettiget til betaling. For eksempel vil det blive betragtet som afpresning, hvis man ikke offentliggør oplysninger om sårbarheden eller på anden måde hindrer muligheden for at løse sårbarheden, indtil andre krav er opfyldt. Vi kan være forpligtet ved lov eller frivilligt beslutte at indberette Bug Bounty-indberetninger til myndighederne, når de omfatter afpresning. 

Vi mener, at aktiviteter, der udføres i overensstemmelse med denne politik, udgør "autoriseret" adfærd i henhold til Computer Fraud and Abuse Act (CFAA), Digital Millennium Copyright Act (DMCA) og gældende anti-hacking-love, såsom Cal. Penal Code 503(c). Vi vil ikke rejse krav mod deltagerne for at omgå de tekniske foranstaltninger, vi har anvendt til at beskytte de applikationer, der er omfattet af Bug Bounty-programmet. Imidlertid betyder overholdelse af denne politik ikke, at Kraken eller nogen anden individuel organisation eller regering kan give immunitet fra global lovgivning. Det er den enkelte deltagers ansvar at forstå og overholde alle gældende lokale og internationale love vedrørende anti-hacking, data og privatliv samt eksportkontrol. Hvis en tredjepart anlægger sag mod dig, og du har overholdt betingelserne i denne politik, vil Kraken informere de relevante retshåndhævende myndigheder eller civile sagsøgere om, at dine aktiviteter efter vores bedste vidende er blevet udført i overensstemmelse med og i henhold til betingelserne i dette program.

Det er et krav, at hver deltager indsender en meddelelse til os, inden vedkommende udfører handlinger, der kan være i strid med eller ikke er omfattet af denne politik. Vi modtager gerne forslag til præciseringer af politikker, der kan hjælpe de deltagende med trygt at udføre deres undersøgelser og rapportering.

Belønninger

Alle indsendte anmeldelser vurderes af Kraken og udbetales på baggrund af sårbarhedsvurderingen. Alle udbetalinger vil ske i BTC til din verificerede Kraken-konto. Dette er defineret som en retningslinje og kan ændres.

  • Alle rapporter skal indsendes til [email protected] – den eneste officielle kontakt for dette program. Undlad at bruge eksterne websteder til at indsende oplysninger om sårbarheder. Alle eksterne websteder eller portaler er uofficielle og er ikke godkendt af Kraken.
  • For at modtage Bug Bounty-betalinger skal du:
  • Anmodning om betaling eller anden anerkendelse i bytte for oplysninger om sårbarheder vil medføre øjeblikkelig udelukkelse fra udbetaling. Hvis du ikke offentliggør oplysninger om sårbarheder, vil det også medføre, at du straks mister retten til udbetaling.
  • Angive detaljerede instruktioner, der gengiver sårbarheden, samt et bevis. 
  • Hvis vi ikke kan gengive dine fund, vil din rapport ikke være berettiget til udbetaling. Udnyt kun det, der er nødvendigt for at påvise en sikkerhedsrisiko, og returner straks samtlige aktiver, der er blevet udvundet.
  • Det er forbudt at afsløre sårbarheder for andre personer.
  • Ethvert forsøg på at omgå de procedurer, der er beskrevet i denne politik, vil medføre øjeblikkelig udelukkelse fra udbetaling. 
  • Angiv din Bitcoin-adresse (BTC) til betaling. Alle belønninger udstedes i Bitcoin.
  • Minimumsbeløbet for betaling er angivet nedenfor. Alle betalinger kan ændres efter Krakens forgodtbefindende.
  • Minimumsudbetalingen er Bitcoin (BTC) svarende til $500 USD.

Indsendelsesproces

Der tages følgende foranstaltninger for at behandle en Bug Bounty-indberetning:

1. Rapporten sendes til Bug Bounty-mailadressen

2. Kraken Security bekræfter modtagelsen (SLA 1 hverdag)

3. Kraken Security vurderer det indsendte (SLA 10 hverdage)

4. Kraken Security sender et svar med en afgørelse. Hvis det vurderes at være en sårbarhed, indeholder meddelelsen en angivelse af trusselsniveauet og beløbets størrelse (vi anmoder om en BTC-adresse).

5. Ved sikkerhedsproblemer sender Kraken belønningen (SLA 14 hverdage).

Hvis du ønsker at kryptere din Bug Bounty-indsendelse for at opnå ekstra sikkerhed, kan du bruge vores offentlige PGP-nøgle. Importer nøglen til din PGP-klient, krypter din rapport og send den derefter til [email protected]. Indsendelser uden kryptering accepteres også. Sådan importerer du vores PGP-offentlige nøgle (valgfrit / ekstra sikkerhed):

  • Download eller kopiér den offentlige nøgleblok ved hjælp af krypteringslinkethttps://www.kraken.com/.well-known/security.txt (download https://www.kraken.com/.well-known/pgp-key.txt fil eller bare kopiere teksten, der begynder med-----BEGIN PGP PUBLIC KEY BLOCK-----)
  • Åbn din PGP- eller GPG-klient (f.eks. GnuPG på kommandolinjen, Thunderbirds OpenPGP Key Manager eller GNOME Seahorse / "Passwords & Keys").
  • Brug klientens "Import key"-funktion til at tilføje nøglen i din nøglering.
  • (Valgfrit) Bekræft nøglens fingeraftryk hos os for at sikre, at den er ægte.
UdbetalingsskalaTrusselsniveauOmfang
 Lav trussel$500-$1000
 Moderat trussel$2500-$5000
 Høj trussel$20.000-$50.000
 Kritisk trussel$100.000-$1.500.000

Følgende egenskaber er omfattet af Bug Bounty-belønninger

Alle belønninger udstedes i Bitcoin

URLEjendomsnavn
www.kraken.comPrimært websted
api.kraken.comREST API
  • ws.kraken.com
  • ws-auth.kraken.com
WebSockets API
futures.kraken.com/derivatives/api/v3Kraken Derivatives REST API
wss://futures.kraken.com/ws/v1Futures WebSocket API
  • trade.kraken.com
  • pro.kraken.com
Kraken Pro-websted
nft.kraken.comKraken NFT-marked
www.cryptofacilities.comCrypto Facilities-websted
www.cryptofacilities.co.ukCryptofacilities UK-websted
www.cfbenchmarks.comCfbenchmarks-websted
www.staked.usStaked-websted
mainnet.staked.cloud/apiStaked API
*inkonchain.comInk
id.kraken.comKraken SSO
Kraken Desktop-app
Kraken-mobilapp
Kraken Pro mobil-app
Kraken Wallet-app
Krakens aktiverEnhver vært, der er verificeret som værende ejet og vedligeholdt af Kraken

Programstatistik

  • 26 rapporter belønnet i det sidste år
  • 434 rapporter indsendt i det sidste år
  • $3962 i gennemsnitlig udbetaling i det sidste år

Wall of Fame

Nedenfor ses nogle af de forskere, der tidligere er blevet belønnet i Krakens Bug Bounty-program.

Disse oplysninger opdateres kvartalsvis.
Wall of FameResearcherUdbetalt beløb
IndviedeDevendra Hyalij – Twitter$60.100
Redigeret*$50.500
 UGWST – Twitter$40.000
 Redigeret*$20.500
 Redigeret*$20.000
 Redigeret*$20.000
 Redigeret*$18.500
 Md Al Nafis Aqil Haque$11.000
 Redigeret*$10.000
 Redigeret*$10.000
 Redigeret*$10.000
 
*Deltagerens navn tilbageholdes på anmodning		 
Disse oplysninger opdateres kvartalsvis.

Sårbarhedsvurderinger

Kritisk

Kritiske trusler udgør en direkte og umiddelbar risiko for en bred vifte af vores brugere eller for Kraken selv. De påvirker ofte relativt lavtstående/grundlæggende komponenter i en af vores applikationsstakke eller infrastruktur. For eksempel:

  • vilkårlig kode/kommandoeksekvering på en server i vores produktionsnetværk.
  • vilkårlige forespørgsler på en produktionsdatabase.
  • omgåelse af vores login-proces – enten adgangskode eller 2FA.
  • adgang til følsomme data om produktionsbrugere eller adgang til interne produktionssystemer.

 

Høj

Høje trusler giver hackere mulighed for at læse eller ændre meget følsomme data, som vedkommende ikke har adgangstilladelse til. De er generelt mere begrænsede i omfang end kritiske problemer, men kan stadig give en hacker omfattende adgang. For eksempel:

  • XSS, som omgår CSP
  • Opdagelse af følsomme brugerdata i en offentligt tilgængelig ressource
  • Adgang til et ikke-kritisk system, som en slutbruger-konto ikke bør have adgang til

 

Middel

Problemer i middel trusselsgrad giver hackere mulighed for at læse eller ændre begrænsede mængder data, som vedkommende ikke har adgangstilladelse til. De giver generelt adgang til mindre følsomme oplysninger end problemer med høj trusselsgrad. For eksempel:

  • Offentliggørelse af ikke-følsomme oplysninger fra et produktionssystem, som brugeren ikke bør have adgang til
  • XSS, der ikke omgår CSP eller ikke udfører følsomme handlinger i en anden brugers session
  • CSRF til handlinger med lav risiko

 

Lav

Problemer i lav trusselsgrad giver en hacker adgang til en meget begrænset mængde data. De kan stride mod en forventning om, hvordan noget er beregnet til at fungere, men det giver næsten ingen mulighed for at eskalere privilegier eller udløse utilsigtet adfærd fra en angribers side. For eksempel:

  • Udløser fejlmeddelelser af typen "verbose" eller "debug" uden bevis for udnyttelse eller indhentning af følsomme oplysninger.

 

Uegnet

Rapporter, som vi ikke er interesserede i og ikke er berettiget til belønning, omfatter følgende:

  • Sårbarheder på websteder, der befinder sig hos tredjeparter (support.kraken.com osv.), medmindre de fører til en sårbarhed på det primære websted. Sårbarheder og fejl på Kraken-bloggen (blog.kraken.com).
  • Sårbarheder, der er afhængige af fysiske angreb, social engineering, spamming, DDOS-angreb osv.
  • Sårbarheder, der påvirker forældede eller ikke-opdaterede browsere.
  • Sårbarheder i tredjepartsapplikationer, der bruger Krakens API.
  • Sårbarheder, der offentliggøres i tredjepartsbiblioteker eller teknologi, der anvendes i Krakens produkter, tjenester eller infrastruktur, tidligere end 30 dage efter offentlig offentliggørelse af problemet.
  • Sårbarheder, der er blevet offentliggjort, inden Kraken har udgivet en omfattende rettelse.
  • Sårbarheder, som vi allerede kender til, eller som allerede er rapporteret af en anden (belønningen går til den første, der rapporterer).
  • Problemer, der ikke kan gengives.
  • Sårbarheder, der kræver et usandsynligt niveau af brugerinteraktion.
  • Sårbarheder, der kræver root/jailbreak på mobil.
  • Manglende sikkerhedsoverskrifter uden bevis for udnyttelsespotentiale.
  • Udbudte TLS Cipher Suites.
  • Forslag til god praksis.
  • Meddelelse om softwareversion.
  • Enhver rapport uden detaljerede trinvise instruktioner og et ledsagende bevis på udnyttelse.
  • Problemer, som vi ikke med rimelighed kan forventes at gøre noget ved, såsom problemer i tekniske specifikationer, som Kraken skal implementere for at overholde disse standarder.
  • Output fra automatiserede værktøjer/scannere eller AI-genererede rapporter.
  • Emner uden sikkerhedsmæssig betydning.

 

Problemer, der ikke er relateret til sikkerhed

Du kan informere os om ikke-sikkerhedsrelaterede problemer på https://support.kraken.com.