बग बाउंटी

Bitcoin प्राप्त करें 
सुरक्षा बग ढूंढने के लिए

साइन अप करें
बग बाउंटी

Bitcoin प्राप्त करें 
सुरक्षा बग ढूंढने के लिए

साइन अप करें

बग बाउंटी प्रोग्राम ओवरव्यू

  • Kraken हमारे बग बाउंटी प्रोग्राम के ज़रिए सुरक्षा कमज़ोरियों के ज़िम्मेदारी से डिस्क्लोज़र को प्रोत्साहित करता है.
  • रिसर्चर को लिखित नीति का पालन करना होगा. इस नीति पर कोई समझौता नहीं किया जा सकता.
  • मुख्य नियम:
    • नेकनीयत से कार्य करें और नीति के उल्लंघनों से बचें.
    • किसी कमज़ोरी को साबित करने के लिए ज़रूरत से ज़्यादा कुछ न करें. 
    • धमकी या फिरौती की मांग न करें.
    • जैसे ही सुरक्षा खामियों का पता चले और उन्हें वैलिडेट किया जाए, निर्देशों और प्रूफ़ ऑफ़ कॉन्सेप्ट एक्सप्लॉइट, उनकी रिपोर्ट करें.
  • सभी लागू कानूनों का पालन करने की ज़िम्मेदारी रिसर्चर की है
  • हमारी नीति को भंग करने या उसका उल्लंघन करने की कोशिशों के परिणामस्वरूप इस प्रोग्राम के लिए तुरंत अयोग्य बना दिया जाएगा. धमकियों या जबरन वसूली की कोशिशों की जानकारी कानून प्रवर्तन एजेंसियों को भेजी जा सकती है.
  • अगर आपको किसी बात पर शंका है, तो स्पष्टीकरण के लिए [email protected] पर सूचित करें.

नीति

Kraken हमारे प्रोडक्ट्स और यूज़र को सुरक्षित रखने में सहायता करने वाले सुरक्षा पेशेवरों और डेवलपर्स के महत्व में गहन भरोसा करता है. Kraken ने अपने बग बाउंटी प्रोग्राम के ज़रिए समन्वित सुरक्षा खामी डिस्क्लोज़र (CVD) निर्धारित किया है और उसे प्रोत्साहित करता है. बग बाउंटी प्रोग्राम डिजिटल करेंसी मार्केट में ग्राहकों की सुरक्षा में मदद करके Kraken के मिशन को पूरा करता है.

Kraken सिस्टम में बग की तलाश करके, आप सभी डेटा, सुरक्षा खामी संबंधी जानकारी, अपने रिसर्च और Kraken के साथ संचार को तब तक पूरी तरह गोपनीय रखने के लिए सहमत होते हैं जब तक कि Kraken समस्या का समाधान नहीं कर देता और डिस्क्लोज़र की अनुमति नहीं दे देता. 

जहां इस नीति की शर्तों का अनुपालन किया जाता है, वहां Kraken नेकनीयत, आकस्मिक उल्लंघनों सहित सभी पोस्ट की गई Kraken बग बाउंटी नीतियों के अनुसार किए गए सुरक्षा शोध के लिए कानूनी कार्रवाई शुरू नहीं करने के लिए सहमत होता है. 

कृपया जब भी संभव हो, टेस्ट अकाउंट बनाकर जानबूझकर प्राइवेसी का उल्लंघन करने से बचें. अगर आपको ऐसे अकाउंट की व्यक्तिगत रूप से पहचान योग्य जानकारी ('PII') या अन्य संवेदनशील डेटा मिलता है, जिसके लिए आपके पास अकाउंट होल्डर की स्पष्ट लिखित सहमति नहीं है, तो कृपया उस डेटा की एक्सेस तुरंत बंद कर दें और Kraken को PII या अन्य संवेदनशील डेटा का, न कि स्वयं डेटा का विवरण देते हुए समस्या की रिपोर्ट करें.

डेटा सुरक्षा विनियमों और हमारी प्राइवेसी नीतियों के मुताबिक, आपको नीचे दिए गए कार्य करने होंगे:

  • अन्य क्लाइंट की PII को स्टोर या ट्रांसमिट न करें. अगर आप गलती से किसी क्लाइंट की PII प्राप्त कर लेते हैं, तो तुरंत Kraken को इसकी सूचना दें और फिर PII की उन सभी कॉपी को नष्ट कर दें जो आपकी नहीं हैं. 
  • अपनी रिसर्च के दौरान डेटा कलेक्शन और एक्सेस को न्यूनतम रखें. केवल वही जानकारी इकट्ठी करें और रखें जो सुरक्षा खामी को प्रदर्शित करने और रिपोर्ट करने के लिए बेहद ज़रूरी हो. 
  • रिपोर्ट सबमिट करने और Kraken द्वारा इसकी प्राप्ति कन्फ़र्म करने के बाद, इकट्ठे किए गए सभी डेटा को तुरंत और सुरक्षित रूप से डिलीट कर दें.
  • Kraken की स्पष्ट लिखित सहमति के बिना किसी भी सुरक्षा खामी या संबंधित जानकारी का खुलासा तीसरे पक्षों को न करें. इसमें सोशल मीडिया, अन्य कंपनियां या प्रेस शामिल हैं, लेकिन यह इन्हीं तक सीमित नहीं है.
  • अगर आप किसी सुरक्षा खामी के बजाय डेटा उल्लंघन या डेटा रिपॉज़िटरी के स्थान के बारे में रिपोर्ट कर रहे हैं, तो कृपया डेटा का स्थान बताएं और उसे आगे एक्सेस न करें, न ही डेटा का स्थान दूसरों को बताएं.

बग बाउंटी सबमिशन में कभी भी धमकी या जबरन वसूली की कोशिश नहीं होना चाहिए. हम मान्य खोजों के लिए रिवॉर्ड्स देने के लिए तैयार हैं, हालांकि फिरौती की मांग भुगतान के योग्य नहीं है. उदाहरण के लिए, खामी के बारे में जानकारी जारी न करना या अन्य मांगों के पूरा होने तक सुरक्षा खामी को हल करने की क्षमता में बाधा डालना फिरौती की मांग माना जाएगा. कानून द्वारा आवश्यक होने पर या स्वेच्छा से हम फिरौती की मांग वाले किसी भी बग बाउंटी सबमिशन की रिपोर्ट अधिकारियों को कर सकते हैं. 

हमारा मानना ​​है कि इस नीति के मुताबिक की गई गतिविधियां कंप्यूटर धोखाधड़ी और दुरुपयोग अधिनियम (CFAA), डिजिटल मिलेनियम कॉपीराइट अधिनियम (DMCA), और लागू एंटी-हैकिंग कानूनों जैसे कि कैलिफ़ोर्निया दंड संहिता 503(c) के तहत "अधिकृत" आचरण हैं. पेनल कोड 503(c). बग बाउंटी प्रोग्राम के दायरे में आने वाले एप्लिकेशन की सुरक्षा के लिए हमारे द्वारा इस्तेमाल किए गए तकनीकी उपायों को दरकिनार करने के लिए हम रिसर्चर के खिलाफ़ कोई भी दावा नहीं करेंगे. हालांकि, इस नीति का पालन करने का मतलब यह नहीं है कि Kraken या कोई अन्य व्यक्तिगत संगठन या सरकार वैश्विक कानूनों से प्रतिरक्षा दे सकती है. व्यक्तिगत सुरक्षा रिसर्चर की यह ज़िम्मेदारी है कि वे एंटी-हैकिंग, डेटा और प्राइवेसी, और एक्सपोर्ट कंट्रोल से संबंधित सभी लागू स्थानीय और अंतरराष्ट्रीय कानूनों को समझें और उनका पालन करें. अगर कोई तीसरा पक्ष, आपके खिलाफ़ कानूनी कार्रवाई करता है और आप इस नीति की शर्तों का पालन कर रहे थे, तो Kraken संबंधित कानून प्रवर्तन एजेंसियों या सिविल वादी को सूचित करेगा कि आपकी रिसर्च से जुड़ी गतिविधियां, हमारी सबसे अच्छी जानकारी के मुताबिक, इस प्रोग्राम के नियमों और शर्तों के अनुसार और उनके अनुपालन में संचालित की गई थीं.

यह आवश्यक है कि हर एक रिसर्चर ऐसे आचरण में शामिल होने से पहले हमें एक सूचना सबमिट करे जो इस नीति के साथ असंगत हो या या जिसके बारे में इस नीति में नहीं बताया गया हो. हम नीति स्पष्टीकरण के लिए ऐसे सुझावों का स्वागत करते हैं जिनसे रिसर्चर को आत्मविश्वास के साथ अपना रिसर्च करने और रिपोर्टिंग करने में मदद मिलती है.

रिवार्ड्स

सभी बाउंटी सबमिशन का मूल्यांकन Kraken द्वारा किया जाता है और भुगतान सुरक्षा खामी रेटिंग के आधार पर किया जाता है. सभी भुगतान आपके वेरिफ़ाइड Kraken अकाउंट में BTC में किए जाएंगे और ये केवल दिशानिर्देश हैं और इनमें बदलाव किया जा सकता है.

  • सभी बग रिपोर्ट इस प्रोग्राम के एकमात्र आधिकारिक संपर्क [email protected] पर सबमिट की जानी चाहिए. कृपया सुरक्षा खामी विवरण जमा करने के लिए बाहरी साइटों का उपयोग न करें. सभी बाहरी साइटें या पोर्टल अनाधिकारिक हैं और Kraken द्वारा अनुमोदित नहीं हैं.
  • बग बाउंटी पेमेंट प्राप्त करने के लिए, आपको नीचे दिया गया कार्य करना होगा:
  • सुरक्षा खामी के विवरण के बदले भुगतान या किसी अन्य प्रकार की स्वीकृति मांगने पर बाउंटी पेमेंट्स के लिए तुरंत अयोग्य घोषित कर दिया जाएगा. सुरक्षा खामी के विवरण जारी न करने पर भी रिवॉर्ड्स राशि के लिए तुरंत अयोग्य घोषित कर दिया जाएगा.
  • सुरक्षा खामी को फिर से जनरेट करने के लिए विस्तृत निर्देश और एक प्रूफ़ ऑफ़ कॉन्सेप्ट दें. 
  • अगर हम आपके निष्कर्षों को फिर से जनरेट नहीं कर पाते हैं, तो आपकी रिपोर्ट, भुगतान के लिए योग्य नहीं होगी. सुरक्षा खामी को साबित करने के लिए केवल ज़रूरी संसाधनों का ही इस्तेमाल करें और एक्सट्रैक्ट गए सभी संसाधनों को तुरंत वापस कर दें.
  • सुरक्षा खामी को अन्य व्यक्तियों को बताना प्रतिबंधित है.
  • इस नीति में बताई गई प्रक्रियाओं का उल्लंघन करने की कोई भी कोशिश करने पर बाउंटी पेमेंट के लिए तुरंत अयोग्य घोषित कर दिया जाएगा. 
  • भुगतान के लिए अपना Bitcoin (BTC) एड्रेस शामिल करें. सभी रिवॉर्ड्स Bitcoin में जारी किए जाएंगे.
  • भुगतान की न्यूनतम राशि नीचे दी गई है. Kraken के विवेक पर सभी भुगतानों में बदलाव किया जा सकता है.
  • न्यूनतम भुगतान Bitcoin (BTC) में $500 अमेरिकी डॉलर के बराबर है.

सबमिशन प्रोसेस

बग बाउंटी सबमिशन को प्रोसेस करने के लिए नीचे दिए गए स्टेप अपनाए जाते हैं:

1. रिपोर्ट बग बाउंटी मेलबॉक्स में सबमिट की जाती है.

2. Kraken सुरक्षा विभाग सबमिशन की स्वीकृति देता है (SLA 1 कार्यदिवस)

3. Kraken सुरक्षा विभाग सबमिशन की छंटनी करता है. (SLA 10 कार्यदिवस)

4. Kraken सुरक्षा विभाग सिक्योरिटी कोई भी खामी पाए जाने पर दृढ़ संकल्प के साथ जवाब भेजती है, अधिसूचना में गंभीरता स्तर और रिवॉर्ड्स की राशि शामिल होती है (हम एक BTC एड्रेस मांगेंगे).

5. सुरक्षा खामियों के लिए, Kraken रिवॉर्ड्स भेजेगा (SLA 14 कार्यदिवस).

अगर आप अतिरिक्त सुरक्षा के लिए अपने बग बाउंटी सबमिशन को एन्क्रिप्ट करना चाहते हैं, तो आप हमारी PGP सार्वजनिक कुंजी का इस्तेमाल कर सकते हैं. कुंजी को अपने PGP क्लाइंट में इंपोर्ट करें, अपनी रिपोर्ट को एन्क्रिप्ट करें और फिर इसे [email protected] पर भेजें. बिना एन्क्रिप्शन के सबमिशन भी स्वीकार किए जाते हैं. हमारी PGP सार्वजनिक कुंजी को कैसे इंपोर्ट करें (वैकल्पिक / अतिरिक्त सुरक्षा):

  • https://www.kraken.com/.well-known/security.txt पर दिए गए लिंक का इस्तेमाल करके सार्वजनिक कुंजी ब्लॉक को डाउनलोड या कॉपी करें (https://www.kraken.com/.well-known/pgp-key.txt फ़ाइल डाउनलोड करें या -----BEGIN PGP PUBLIC KEY BLOCK----- से शुरू होने वाले टेक्स्ट को कॉपी करें).
  • अपना PGP या GPG क्लाइंट खोलें (उदाहरण के लिए, कमांड लाइन पर GnuPG, Thunderbird का OpenPGP की मैनेजर, या GNOME Seahorse / "पासवर्ड और कुंजियां").
  • अपनी कीरिंग में कुंजी जोड़ने के लिए क्लाइंट की "कुंजी इंपोर्ट करें" सुविधा का उपयोग करें.
  • (वैकल्पिक) प्रामाणिकता सुनिश्चित करने के लिए हमारे साथ कुंजी के फ़िंगरप्रिंट को वेरिफ़ाई करें.
भुगतान पैमानागंभीरतासीमा
 कम गंभीरता$500-$1000
 मध्यम गंभीरता$2500-$5000
 उच्च गंभीरता$20,000-$50,000
 बेहद उच्च गंभीरता$100,000-$1,500,000

नीचे दी गई प्रॉपर्टी bug bounty रिवॉर्ड्स के दायरे में हैं

सभी रिवॉर्ड्स Bitcoin में जारी किए जाएंगे

URLप्रॉपर्टी का नाम
www.kraken.comमुख्य वेबसाइट
api.kraken.comREST API
  • ws.kraken.com
  • ws-auth.kraken.com
WebSockets API
futures.kraken.com/derivatives/api/v3Kraken डेरिवेटिव्स REST API
wss://futures.kraken.com/ws/v1फ्यूचर Websockets
  • trade.kraken.com
  • pro.kraken.com
Kraken Pro ऐप
nft.kraken.comKraken NFT मार्केटप्लेस
www.cryptofacilities.comCrypto Facilities वेबसाइट
www.cryptofacilities.co.ukCryptofacilities UK वेबसाइट
www.cfbenchmarks.comCfbenchmarks वेबसाइट
www.staked.usStaked वेबसाइट
mainnet.staked.cloud/apiस्टेक किया गया API
*inkonchain.comInk
id.kraken.comKraken SSO
Kraken डेस्कटॉप ऐप्लिकेशन
Kraken मोबाइल ऐप्लिकेशन
Kraken Pro मोबाइल ऐप
Kraken वॉलेट एप्लिकेशन
Kraken के स्वामित्व वाली एसेटऐसा कोई भी होस्ट, जो Kraken के स्वामित्व और रखरखाव में वेरिफ़ाई हो

प्रोग्राम के आंकड़े

  • 26 रिपोर्ट्स को पिछले वर्ष रिवॉर्ड दिया गया
  • 434 रिपोर्ट्स पिछले वर्ष सबमिट की गईं
  • $3962 पिछले वर्ष का औसत भुगतान

वॉल ऑफ़ फ़ेम

नीचे कुछ ऐसे रिसर्चर की जानकारी देखें, जिन्हें Kraken के Bug Bounty प्रोग्राम में पहले रिवॉड दिया जा चुका है.

यह जानकारी हर तिमाही में अपडेट की जाती है.
वॉल ऑफ़ फ़ेमरिसर्चररिवॉर्ड में दिया गया अमाउंट
इंडक्टीदेवेंद्र हियालिज- Twitter$60,100
रिडेक्ट किए गए*$50,500
 UGWST - Twitter$40,000
 रिडेक्ट किए गए*20,500).
 रिडेक्ट किए गए*$20,000
 रिडेक्ट किए गए*$20,000
 रिडेक्ट किए गए*18,500).
 मु. अल नफ़ीस अकील हक11,000).
 रिडेक्ट किए गए*$10,000
 रिडेक्ट किए गए*$10,000
 रिडेक्ट किए गए*$10,000
 
*अनुरोध पर रिसर्चर का नाम गुप्त रखा गया है		 
यह जानकारी हर तिमाही में अपडेट की जाती है.

सुरक्षा खामी की रेटिंग

बेहद गंभीर

बेहद गंभीर समस्याएं हमारे यूज़र के एक बड़े समूह या खुद Kraken के लिए सीधा और तुरंत जोखिम पैदा करती हैं. ये अक्सर हमारे एप्लिकेशन स्टैक या बुनियादी ढांचे में तुलनात्मक रूप से निम्न-स्तरीय/बुनियादी घटकों को प्रभावित करती हैं. उदाहरण के लिए:

  • हमारे प्रोडक्शन नेटवर्क में किसी सर्वर पर मनमाना कोड/कमांड एग्ज़िक्यूशन.
  • प्रोडक्शन डेटाबेस पर मनमानी क्वेरी.
  • पासवर्ड या 2FA के ज़रिए हमारी साइन-इन प्रोसेस को दरकिनार करना.
  • संवेदनशील प्रोडक्शन उपयोगकर्ता डेटा या आंतरिक प्रोडक्शन सिस्टम की एक्सेस.

 

उच्च

उच्च गंभीरता वाली समस्याओं में हमलावर बेहद संवेदनशील डेटा को पढ़ या संशोधित कर सकता है, जिसे एक्सेस करने के लिए वह अधिकृत नहीं है. हालांकि, ये समस्याएं आमतौर पर गंभीर समस्याओं की तुलना में सीमित दायरे में होती हैं, फिर भी हमलावर को काफ़ी एक्सेस दे सकती हैं. उदाहरण के लिए:

  • XSS जो CSP को बायपास करता है
  • सार्वजनिक रूप से उपलब्ध संसाधन में संवेदनशील यूज़र डेटा का पता लगाना
  • किसी गैर-महत्वपूर्ण सिस्टम की एक्सेस प्राप्त करना, जिस तक एंड यूज़र अकाउंट की एक्सेस नहीं होनी चाहिए

 

मध्यम

मध्यम गंभीरता वाले मामलों में हमलावर सीमित मात्रा में ऐसे डेटा को पढ़ या बदल सकता है, जिसे एक्सेस करने के लिए वह अधिकृत नहीं है. ये आम तौर पर उच्च गंभीरता वाली समस्याओं के मुकाबले कम संवेदनशील जानकारी की एक्सेस प्रदान करते हैं. उदाहरण के लिए:

  • प्रोडक्शन सिस्टम से ऐसी गैर-संवेदनशील जानकारी का खुलासा करना जिसकी यूज़र को एक्सेस नहीं होनी चाहिए
  • वह XSS जो CSP को बायपास नहीं करता या किसी अन्य यूज़र के सेशन में संवेदनशील कार्रवाइयां निष्पादित नहीं करता
  • कम जोखिम वाली कार्रवाइयों के लिए CSRF

 

निम्न

कम गंभीरता वाली समस्याएं, हमलावर को बहुत सीमित मात्रा में डेटा की एक्सेस देती हैं. उनमें किसी चीज़ के काम करने के अपेक्षित तरीके का उल्लंघन हो सकता है, लेकिन इससे हमलावर को विशेषाधिकार में बढ़ोतरी या अनपेक्षित व्यवहार ट्रिगर करने की क्षमता लगभग नहीं मिलती है. उदाहरण के लिए:

  • प्राप्त करने की क्षमता के सबूत के बिना वर्बोस या डीबग गड़बड़ी पेजेस को ट्रिगर करना या संवेदनशील जानकारी प्राप्त करना.

 

अयोग्यता

जिन रिपोर्टों में हमारी दिलचस्पी नहीं है और जो रिवॉर्ड के लिए योग्य नहीं हैं, उनमें ये शामिल हैं:

  • तीसरे पक्ष द्वारा होस्ट की गई साइटों (support.kraken.com, आदि) पर सुरक्षा खामियां, जब तक कि वे मुख्य वेबसाइट पर किसी सुरक्षा खामी की वजह न बनें. Kraken ब्लॉग (blog.kraken.com) पर सुरक्षा खामियां और बग.
  • भौतिक हमले, सोशल इंजीनियरिंग, स्पैमिंग, DDOS हमले आदि से जुड़ी सुरक्षा खामियां.
  • पुराने या पैच न किए गए ब्राउज़रों को प्रभावित करने वाली सुरक्षा खामियां.
  • Kraken के API का उपयोग करने वाले तीसरे-पक्ष के एप्लिकेशन में सुरक्षा खामियां.
  • समस्या के सार्वजनिक डिस्क्लोज़र के 30 दिनों से पहले Kraken प्रोडक्ट्स, सेवाओं या इन्फ़्रास्ट्रक्चर में उपयोग की गई तीसरे-पक्ष की लाइब्रेरी या तकनीक में सार्वजनिक रूप से प्रकट की गई सुरक्षा खामियां.
  • Kraken द्वारा व्यापक समाधान जारी करने से पहले सार्वजनिक रूप से जारी की गई सुरक्षा खामियां.
  • ऐसी सुरक्षा खामियां जो हमें पहले से ज्ञात हैं, या किसी और द्वारा पहले ही रिपोर्ट कर दी गई हैं (रिवॉर्ड, रिपोर्ट करने वाले पहले व्यक्ति को दिया जाता है).
  • ऐसी समस्याएं, जो दोबारा जनरेट नहीं की जा सकतीं.
  • ऐसी सुरक्षा खामियां जिनके लिए यूज़र के साथ बेहद इंटरैक्शन करने की ज़रूरत होती है.
  • ऐसी सुरक्षा खामियां जिनके लिए मोबाइल पर रूट/जेलब्रेक की ज़रूरत होती है.
  • प्रूफ़ ऑफ़ एक्सप्लॉइटेबिलिटी के बिना सुरक्षा हेडर गायब हैं.
  • TLS सिफ़र सूट की पेशकश की गई है.
  • सबसे अच्छी प्रक्रियाओं के बारे में सुझाव.
  • सॉफ़्टवेयर वर्शन का डिस्क्लोज़र.
  • विस्तृत स्टेप-बाय-स्टेप निर्देश और प्रूफ़ ऑफ़ कॉन्सेप्ट एक्सप्लॉइट के बगैर कोई भी रिपोर्ट.
  • ऐसी समस्याएं जिनके बारे में हमसे उचित रूप से कुछ भी करने की अपेक्षा नहीं की जा सकती, जैसे कि तकनीकी विनिर्देशों में समस्याएं जिन्हें Kraken को उन मानकों के मुताबिक लागू करना होगा.
  • ऑटोमेटेड टूल/स्कैनर या AI-जनरेटेड रिपोर्ट से प्राप्त आउटपुट.
  • ऐसी समस्याएं, जिनका कोई भी सुरक्षा प्रभाव नहीं है.

 

गैर-सुरक्षा समस्याएं

गैर-सुरक्षा समस्याओं के बारे में आप हमें https://support.kraken.com पर बता सकते हैं.