• Kraken podporuje zodpovědné odhalování chyb zabezpečení prostřednictvím svého programu odměn za nalezení chyb.
• Výzkumníci musí dodržovat písemné zásady. O těchto zásadách nelze vyjednávat.
• Hlavní pravidla:
  • Jednejte v dobré víře a vyhýbejte se porušování zásad.
  • Nedělejte víc, než je nutné k prokázání chyby zabezpečení. 
  • Nevyhrožujte a nepožadujte výkupné.
  • Hlaste chyby zabezpečení, včetně pokynů a zkoušky proveditelnosti, jakmile je objevíte a ověříte.
• Výzkumníci jsou povinni dodržovat všechny platné zákony.
• Pokusy o obcházení nebo porušení našich zásad budou mít za následek okamžité vyloučení z tohoto programu. Výhružky nebo pokusy o vydírání mohou být postoupeny orgánům činným v trestním řízení.
• Pokud si něčím nejste jisti, požádejte o vysvětlení na adrese [email protected].

Společnost Kraken pevně věří v hodnotu odborníků na zabezpečení a vývojářů, kteří pomáhají chránit naše produkty a uživatele. Společnost Kraken zavedla a podporuje koordinované zveřejňování chyb zabezpečení (Coordinated Vulnerability Disclosure, CVD) prostřednictvím svého programu odměn za nalezení chyb. Program odměn za nalezení chyb slouží společnosti Kraken tím, že pomáhá chránit zákazníky na trhu digitálních měn.

Hledáním chyb v systémech Kraken souhlasíte s tím, že budete zachovávat přísnou důvěrnost všech údajů, informací o chybách zabezpečení, svého výzkumu a komunikace se společností Kraken, dokud společnost Kraken daný problém nevyřeší a neudělí svolení ke zveřejnění. 

Pokud jsou splněny požadavky těchto zásad, společnost Kraken souhlasí, že nebude podnikat právní kroky v případě bezpečnostního výzkumu prováděného v souladu se všemi zveřejněnými zásadami programu odměn za nalezení chyb Kraken, včetně porušení v dobré víře a náhodných porušení. 

Vyhněte se úmyslnému porušování soukromí vytvářením testovacích účtů, kdykoli je to možné. Pokud narazíte na osobní identifikační údaje nebo jiné citlivé údaje týkající se účtů, k jejichž ověření nemáte výslovný písemný souhlas majitele účtu, okamžitě přestaňte k těmto údajům přistupovat a nahlaste tento problém společnosti Kraken s popisem osobních identifikačních údajů nebo jiných citlivých údajů. Nezahrnujte samotné údaje.

V souladu s předpisy o ochraně osobních údajů a našimi zásadami ochrany osobních údajů máte tyto povinnosti:

• Neukládejte ani nepřenášejte osobní identifikační údaje jiných klientů. Pokud se vám stane, že zaznamenáte jakékoli osobní údaje klienta, okamžitě to nahlaste společnosti Kraken a poté zničte všechny kopie osobních identifikačních údajů, které vám nepatří. 
• Během výzkumu minimalizujte sběr dat a přístup k nim. Shromažďujte a uchovávejte pouze informace, které jsou nezbytně nutné k prokázání a nahlášení chyby zabezpečení. 
• Jakmile bude hlášení odesláno a společnost Kraken potvrdí jeho přijetí, okamžitě a bezpečně odstraňte všechna shromážděná data.
• Bez výslovného písemného souhlasu společnosti Kraken nesmíte sdělovat žádné chyby zabezpečení ani související informace třetím stranám. To zahrnuje mimo jiné sociální sítě, jiné společnosti nebo tisk.
• Pokud nahlašujete porušení bezpečnosti dat nebo umístění úložiště dat namísto bezpečnostní chyby, uveďte umístění dat a dále k nim nepřistupujte ani nesdílejte jejich umístění s ostatními.

Hlášení chyby v rámci programu odměn za nalezení chyb nesmí nikdy obsahovat výhrůžky ani pokusy o vydírání. Jsme ochotni vyplácet odměny za legitimní nálezy, avšak požadavky na výkupné nejsou k výplatě způsobilé. Například neposkytnutí informací o chybě zabezpečení nebo jiné bránění schopnosti vyřešit chyby, dokud nebudou z naší strany splněny další požadavky, bude považováno za požadavek na výkupné. Můžeme být ze zákona povinni nebo se dobrovolně rozhodnout nahlásit orgánům jakékoli hlášení v rámci programu odměn za nalezení chyb, které obsahuje požadavky na výkupné. 

Domníváme se, že činnosti prováděné v souladu s těmito zásadami představují „oprávněné“ jednání podle zákonů Computer Fraud and Abuse Act (CFAA), Digital Millennium Copyright Act (DMCA) a příslušných zákonů proti hackerství, jako je Cal. Penal Code 503(c). Nebudeme podávat žaloby proti výzkumníkům za obcházení technologických opatření, která jsme použili k ochraně aplikací v rámci programu odměn za nalezení chyb. Dodržování těchto zásad však neznamená, že společnost Kraken ani žádná jiná organizace či vláda může udělit imunitu vůči globálním zákonům. Je odpovědností jednotlivých bezpečnostních výzkumníků porozumět všem platným místním a mezinárodním zákonům týkajícím se boje proti hackerství, ochrany dat a soukromí a kontroly exportu a dodržovat je. Pokud proti vám třetí strana podá žalobu a vy jste dodržovali podmínky těchto zásad, společnost Kraken informuje příslušné orgány činné v trestním řízení nebo civilní žalobce, že vaše výzkumné činnosti byly podle našich nejlepších znalostí prováděny v souladu s podmínkami tohoto programu.

Každý výzkumník je povinen nám předem oznámit jakékoli jednání, které by mohlo být v rozporu s těmito zásadami nebo které tyto zásady nezahrnují. Uvítáme návrhy na upřesnění zásad, které pomohou výzkumníkům provádět výzkum a podávat zprávy s větší jistotou.

Všechny podané žádosti o odměnu jsou hodnoceny společností Kraken a vypláceny na základě hodnocení chyby zabezpečení. Všechny výplaty budou prováděny v BTC na váš ověřený účet Kraken a jsou definovány jako orientační a mohou se změnit.

• Všechna hlášení o chybách musí být zaslány na adresu [email protected], která je jediným oficiálním kontaktním místem pro tento program. K zasílání podrobností o chybách zabezpečení nepoužívejte externí weby. Jakékoli externí stránky nebo portály jsou neoficiální a nejsou schváleny společností Kraken.
• Abyste mohli obdržet odměnu za nalezení chyby, musíte:
  • Být zaregistrováni na střední úrovni. Viz: Vytvoření účtu https://www.kraken.com/sign-up
  • Mít AKTIVNÍ účet
  • Poskytnout dokumentaci k ověření. Viz také: https://support.kraken.com/hc/en-us/articles/360000672203-Document-requirements-for-verification
• Požadování platby nebo jiného druhu odměny výměnou za informace o chybě zabezpečení bude mít za následek okamžitou ztrátu nároku na odměnu. Pokud nezveřejníte podrobnosti o chybě zabezpečení, bude to mít za následek okamžitou ztrátu nároku na odměnu.
• Poskytněte podrobné pokyny k reprodukci chyby zabezpečení a zkoušku proveditelnosti. 
• Pokud nebudeme schopni nálezy reprodukovat, vaše hlášení nebude způsobilé k získání výplaty. Využijte pouze to, co je nezbytné k prokázání bezpečnostní chyby, a neprodleně vraťte veškerá získaná aktiva.
• Zveřejňování informací o chybách zabezpečení jiným osobám je zakázáno.
• Jakýkoli pokus o obejití postupů popsaných v těchto zásadách bude mít za následek okamžitou ztrátu nároku na výplatu odměny. 
• Uveďte svou bitcoinovou (BTC) adresu pro platbu. Všechny odměny budou vydány v Bitcoinu.
• Minimální platby jsou definovány níže. Všechny platby mohou být podle uvážení společnosti Kraken změněny.
• Minimální výplata je v Bitcoinu (BTC) v hodnotě 500 USD.

Při zpracování podání v rámci programu odměn za nalezení chyb se provádějí následující kroky:

1. Hlášení je odesláno do schránky pro odměny za nalezení chyb.

2. Bezpečnostní tým Krakenu potvrdí přijetí (SLA 1 pracovní den).

3. Bezpečnostní tým Krakenu provede třídění podání (SLA 10 pracovních dnů).

4. Bezpečnostní tým Krakenu zašle odpověď s rozhodnutím. Pokud je zjištěna chyba zabezpečení, oznámení bude obsahovat úroveň závažnosti a výši odměny (požádáme o vaši BTC adresu).

5. V případě chyb zabezpečení vám Kraken zašle odměnu (SLA 14 pracovních dnů).

Pokud chcete pro větší bezpečnost své hlášení o chybě zašifrovat, můžete použít náš veřejný klíč PGP. Importujte klíč do svého klienta PGP, zašifrujte své hlášení a poté jej odešlete na adresu [email protected]. Přijímáme i nezašifrovaná hlášení. Jak importovat náš veřejný klíč PGP (volitelné/dodatečné zabezpečení):

• Stáhněte nebo zkopírujte blok veřejného klíče pomocí odkazu Šifrování na adrese https://www.kraken.com/.well-known/security.txt (stáhněte soubor https://www.kraken.com/.well-known/pgp-key.txt nebo zkopírujte text začínající -----BEGIN PGP PUBLIC KEY BLOCK----- )
• Otevřete svého klienta PGP nebo GPG (např. GnuPG v příkazovém řádku, správce klíčů OpenPGP v Thunderbirdu nebo GNOME Seahorse / „Hesla a klíče“).
• Pomocí funkce klienta „Importovat klíč“ přidejte klíč do své klíčenky.
• (Volitelné) Ověřte u nás otisk klíče, abyste se ujistili o jeho pravosti.

• 26 odměněných hlášení za poslední rok
• 434 odeslaných hlášení za poslední rok
• Průměrná výplata 3 962 USD za poslední rok

Níže uvádíme některé výzkumníky, kteří již byli odměněni v rámci programu odměn za nelezení chyb společnosti Kraken.

Kritická

Chyby s kritickou závažností představují přímé a bezprostřední riziko pro širokou škálu našich uživatelů nebo pro samotnou společnost Kraken. Často ovlivňují relativně nízkoúrovňové/základní komponenty v jedné z našich aplikačních vrstev nebo infrastruktury. Příklad:

• Provedení libovolného kódu/příkazu na serveru v naší produkční síti.
• Libovolné dotazy na produkční databázi.
• Schopnost obejít náš proces přihlášení, ať už heslem, nebo pomocí 2FA.
• Přístup k citlivým produkčním uživatelským údajům nebo přístup k interním produkčním systémům.

Vysoká

Chyby s vysokou závažností umožňují útočníkovi číst nebo upravovat vysoce citlivá data, ke kterým nemá oprávnění pro přístup. Jejich rozsah je obecně užší než u kritických problémů, i když mohou útočníkovi stále poskytnout rozsáhlý přístup. Příklad:

• XSS, který obchází CSP.
• Odhalení citlivých uživatelských dat ve veřejně přístupném zdroji.
• Získání přístupu k nekritickému systému, ke kterému by účet koncového uživatele neměl mít přístup.

Střední

Chyby se střední závažností umožňují útočníkovi číst nebo upravovat omezené množství dat, ke kterým nemá oprávnění pro přístup. Obecně poskytují přístup k méně citlivým informacím než chyby s vysokou závažností. Příklad:

• Zveřejnění citlivých informací z produkčního systému, ke kterému by uživatel neměl mít přístup.
• XSS, který neobchází CSP nebo neprovádí citlivé akce v relaci jiného uživatele.
• CSRF pro akce s nízkým rizikem.

Nízká

Chyby s nízkou závažností umožňují útočníkovi přístup k extrémně omezenému množství dat. Mohou porušit očekávání ohledně toho, jak má prvek fungovat, ale téměř neumožňují eskalaci oprávnění ani schopnost útočníka vyvolat nechtěné chování. Příklad:

• Spouštění podrobných nebo ladicích chybových stránek bez důkazu zneužití nebo získání citlivých informací.

Nesplnění podmínek

Hlášení, která pro nás nejsou relevantní a za která neposkytujeme odměnu:

• Chyby zabezpečení na stránkách hostovaných třetími stranami (support.kraken.com atd.), pokud nevedou k chybě zabezpečení na hlavní webové stránce. Bezpečnostní a jiné chyby na blogu Kraken (blog.kraken.com).
• Chyby zabezpečení závislé na fyzickém útoku, sociálním inženýrství, spamu, DDOS útoku atd.
• Chyby zabezpečení ovlivňující zastaralé nebo neaktualizované prohlížeče.
• Chyby zabezpečení v aplikacích třetích stran, které využívají API společnosti Kraken.
• Chyby zabezpečení zveřejněné v knihovnách třetích stran nebo technologiích používaných v produktech, službách nebo infrastruktuře společnosti Kraken dříve než 30 dní po zveřejnění daného problému.
• Chyby zabezpečení, které byly zveřejněny předtím, než společnost Kraken vydala komplexní opravu.
• Chyby zabezpečení, které již známe nebo které již nahlásil někdo jiný (odměna připadne prvnímu, kdo chybu nahlásil).
• Problémy, které nelze reprodukovat.
• Chyby zabezpečení, které vyžadují nepravděpodobnou úroveň interakce uživatele.
• Chyby zabezpečení, které vyžadují root/jailbreak na mobilních zařízeních.
• Chybějící bezpečnostní hlavičky bez důkazu o zneužitelných chybách.
• Nabízené sady TLS Cipher Suites.
• Doporučení ohledně osvědčených postupů.
• Zveřejnění verze softwaru.
• Hlášení bez podrobných pokynů a doprovodné zkoušky proveditelnosti.
• Problémy, u nichž nelze důvodně očekávat, že je budeme schopni vyřešit, jako například problémy v technických specifikacích, které musí společnost Kraken implementovat, aby splnila dané standardy.
• Výstup z automatizovaných nástrojů/skenerů nebo zpráv vygenerovaných umělou inteligencí.
• Problémy bez dopadu na zabezpečení.

Problémy nesouvisející se zabezpečením

O problémech, které se netýkají zabezpečení, nás můžete informovat na adrese https://support.kraken.com.