• Η Kraken προάγει την υπεύθυνη δημοσίευση των ευπαθειών ασφαλείας μέσω του προγράμματος αμοιβής εντοπισμού σφαλμάτων (Bug Bounty).
• Οι ερευνητές πρέπει να ακολουθούν την έγγραφη πολιτική. Αυτή η πολιτική δεν είναι διαπραγματεύσιμη.
• Βασικοί κανόνες:
  • Ενεργήστε καλόπιστα και αποφύγετε παραβιάσεις της πολιτικής.
  • Μην κάνετε περισσότερα από όσα χρειάζονται για να αποδείξετε μια ευπάθεια. 
  • Μην απειλήσετε ή ζητήσετε λύτρα.
  • Αναφέρετε τις ευπάθειες, συμπεριλαμβανομένων των οδηγιών και της απόδειξης της αξιοποίησης της έννοιας, μόλις εντοπιστούν και επαληθευτούν.
• Οι ερευνητές είναι υπεύθυνοι για τη συμμόρφωση με όλους τους ισχύοντες νόμους.
• Οποιαδήποτε απόπειρα υπονόμευσης ή παραβίασης της πολιτικής μας θα έχει ως αποτέλεσμα την άμεση απώλεια της επιλεξιμότητας για το πρόγραμμα αυτό. Οι απειλές ή οι απόπειρες εκβιασμού ενδέχεται να καταγγελθούν στις αρχές επιβολής του νόμου.
• Εάν δεν είστε σίγουροι για κάτι, επικοινωνήστε με το [email protected] για διευκρινίσεις.

Η Kraken πιστεύει ακράδαντα στην αξία των επαγγελματιών ασφαλείας και των προγραμματιστών που συμβάλλουν στη διατήρηση της ασφάλειας των προϊόντων και των χρηστών μας. Η Kraken έχει καθιερώσει και προάγει την συντονισμένη αποκάλυψη ευπαθειών (CVD) μέσω του προγράμματος αμοιβής εντοπισμού σφαλμάτων (Bug Bounty). Το πρόγραμμα Bug Bounty εξυπηρετεί την αποστολή της Kraken, βοηθώντας στην προστασία των πελατών στην αγορά ψηφιακών νομισμάτων.

Αναζητώντας σφάλματα στα συστήματα της Kraken, συμφωνείτε να διατηρήσετε όλα τα δεδομένα, τις πληροφορίες σχετικά με τις ευπάθειες, την έρευνά σας και τις επικοινωνίες σας με την Kraken αυστηρά εμπιστευτικά έως ότου η Kraken επιλύσει το ζήτημα και παραχωρήσει άδεια για την αποκάλυψή τους. 

Όταν πληρούνται οι απαιτήσεις της παρούσας Πολιτικής, η Kraken συμφωνεί να μην προβεί σε νομικές ενέργειες για έρευνα ασφάλειας που πραγματοποιείται σύμφωνα με όλες τις δημοσιευμένες πολιτικές Kraken Bug Bounty, συμπεριλαμβανομένων των παραβάσεων καλής πίστης και των τυχαίων παραβάσεων. 

Αποφύγετε τις σκόπιμες παραβιάσεις του απορρήτου δημιουργώντας δοκιμαστικούς λογαριασμούς όποτε είναι δυνατόν. Εάν εντοπίσετε προσωπικά αναγνωρίσιμες πληροφορίες («PII») ή άλλα ευαίσθητα δεδομένα για λογαριασμούς για τους οποίους δεν έχετε ρητή γραπτή συγκατάθεση του κατόχου του λογαριασμού για να χρησιμοποιήσετε για την επικύρωση των ευρημάτων σας, σταματήστε αμέσως την πρόσβαση σε αυτά τα δεδομένα και αναφέρετε το ζήτημα στην Kraken με μια περιγραφή των PII ή άλλων ευαίσθητων δεδομένων, όχι τα ίδια τα δεδομένα.

Σύμφωνα με τους κανονισμούς περί προστασίας δεδομένων και τις πολιτικές απορρήτου μας, πρέπει να κάνετε τα εξής:

• Μην αποθηκεύετε ή μεταδίδετε προσωπικά αναγνωρίσιμες πληροφορίες (PII) άλλων πελατών. Εάν τυχόν καταγράψετε οποιαδήποτε προσωπική πληροφορία πελάτη, ενημερώστε αμέσως την Kraken και στη συνέχεια καταστρέψτε όλα τα αντίγραφα των προσωπικών πληροφοριών που δεν σας ανήκουν. 
• Ελαχιστοποιήστε τη συλλογή και την πρόσβαση σε δεδομένα κατά τη διάρκεια της έρευνάς σας. Συλλέγετε και διατηρείτε μόνο τις πληροφορίες που είναι απολύτως απαραίτητες για να αποδείξετε και να αναφέρετε την ευπάθεια. 
• Διαγράψτε αμέσως και με ασφάλεια όλα τα δεδομένα που συλλέξατε, μόλις υποβάλετε την αναφορά και η Kraken επιβεβαιώσει ότι την έλαβε.
• Να μην αποκαλύπτετε τυχόν ευπάθειες ή σχετικές πληροφορίες σε τρίτους χωρίς τη ρητή γραπτή συγκατάθεση της Kraken. Αυτό περιλαμβάνει, μεταξύ άλλων, τα μέσα κοινωνικής δικτύωσης, άλλες εταιρείες ή τον Τύπο.
• Εάν αναφέρετε παραβίαση δεδομένων ή την τοποθεσία ενός κέντρου δεδομένων αντί για ευπάθεια ασφαλείας, αναφέρετε την τοποθεσία των δεδομένων και μην προχωρήσετε σε περαιτέρω πρόσβαση σε αυτά, καθώς και μην μοιραστείτε την τοποθεσία των δεδομένων με άλλους.

Μια υποβολή αμοιβής εντοπισμού σφαλμάτων δεν πρέπει ποτέ να περιέχει απειλές ή οποιαδήποτε απόπειρα εκβιασμού. Είμαστε διατεθειμένοι να καταβάλλουμε αμοιβές για νόμιμες ανακαλύψεις, ωστόσο οι απαιτήσεις για λύτρα δεν είναι επιλέξιμες για πληρωμή. Για παράδειγμα, η μη δημοσιοποίηση πληροφοριών σχετικά με την ευπάθεια ή η παρεμπόδιση της δυνατότητας επίλυσης της ευπάθειας έως ότου ικανοποιηθούν άλλες απαιτήσεις θα θεωρείται απαίτηση λύτρων. Ενδέχεται να υποχρεωθούμε από τον νόμο ή να αποφασίσουμε οικειοθελώς να αναφέρουμε στις αρχές οποιαδήποτε υποβολή αμοιβή εντοπισμού σφαλμάτων που περιέχει απαιτήσεις λύτρων. 

Πιστεύουμε ότι οι δραστηριότητες που διεξάγονται σύμφωνα με την παρούσα πολιτική αποτελούν «επιτρεπόμενη» συμπεριφορά σύμφωνα με τον Νόμο περί Απάτης και Κατάχρησης Υπολογιστών (CFAA), τον Νόμο περί Πνευματικών Δικαιωμάτων στην Ψηφιακή Εποχή (DMCA) και τους ισχύοντες νόμους κατά της πειρατείας, όπως ο νόμος της Καλιφόρνιας. Ποινικός Κώδικας 503(c). Δεν θα ασκήσουμε αγωγή εναντίον ερευνητών για την παράκαμψη των τεχνολογικών μέτρων που έχουμε χρησιμοποιήσει για την προστασία των εφαρμογών που εμπίπτουν στο πεδίο εφαρμογής του Προγράμματος Bug Bounty. Ωστόσο, η εφαρμογή αυτής της πολιτικής δεν σημαίνει ότι η Kraken ή οποιοσδήποτε άλλος μεμονωμένος οργανισμός ή κυβέρνηση μπορεί να παραχωρήσει ασυλία από τους παγκόσμιους νόμους. Είναι ευθύνη των μεμονωμένων ερευνητών ασφάλειας να κατανοούν και να συμμορφώνονται με όλους τους ισχύοντες τοπικούς και διεθνείς νόμους σχετικά με την καταπολέμηση της παραβίασης, τα δεδομένα και το απόρρητο, καθώς και τους ελέγχους εξαγωγών. Εάν τρίτο μέρος ασκήσει νομική δράση εναντίον σας και εσείς τηρούσατε τους όρους της παρούσας πολιτικής, η Kraken θα ενημερώσει τις αρμόδιες αρχές επιβολής του νόμου ή τους ενάγοντες ότι, με βάση τις πληροφορίες που διαθέτουμε, οι δραστηριότητες έρευνας σας διεξήχθησαν σύμφωνα με τους όρους και τις προϋποθέσεις του παρόντος προγράμματος και σε συμμόρφωση με αυτούς.

Κάθε ερευνητής υποχρεούται να μας υποβάλει ειδοποίηση πριν προβεί σε ενέργειες που ενδέχεται να αντιβαίνουν ή να μην καλύπτονται από την παρούσα πολιτική. Καλωσορίζουμε προτάσεις για διευκρινίσεις πολιτικής που βοηθούν τους ερευνητές να διεξάγουν την έρευνά τους και να υποβάλλουν τις εκθέσεις τους με σιγουριά.

Όλες οι υποβολές για την προσφορά ανταμοιβής αξιολογούνται από την Kraken και πληρώνονται με βάση την αξιολόγηση της ευπάθειας. Όλες οι πληρωμές θα πραγματοποιούνται σε BTC στον επαληθευμένο λογαριασμό σας Kraken και ορίζονται ως κατευθυντήριες γραμμές και υπόκεινται σε αλλαγές.

• Όλες οι αναφορές σφαλμάτων πρέπει να υποβάλλονται στη διεύθυνση [email protected], η οποία είναι η μόνη επίσημη διεύθυνση επικοινωνίας για αυτό το πρόγραμμα. Μην χρησιμοποιήσετε εξωτερικούς ιστότοπους για να υποβάλετε λεπτομέρειες σχετικά με ευπάθειες. Οι εξωτερικοί ιστότοποι ή πύλες δεν είναι επίσημοι και δεν έχουν εγκριθεί από την Kraken.
• Για να λάβετε πληρωμές για την αμοιβή εντοπισμού σφαλμάτων, πρέπει να κάνετε τα εξής:
  • Εγγραφείτε στο ενδιάμεσο επίπεδο. Βλ. Δημιουργήστε έναν λογαριασμό- https://www.kraken.com/sign-up
  • Να έχετε έναν ΕΝΕΡΓΟ λογαριασμό
  • Παρέχετε τα απαραίτητα έγγραφα για επαλήθευση. Δείτε επίσης: https://support.kraken.com/hc/en-us/articles/360000672203-Document-requirements-for-verification
• Η απαίτηση πληρωμής ή άλλης αναγνώρισης σε αντάλλαγμα για λεπτομέρειες σχετικά με την ευπάθεια θα έχει ως αποτέλεσμα την άμεση απώλεια του δικαιώματος για πληρωμή της ανταμοιβής. Η μη δημοσιοποίηση των λεπτομερειών της ευπάθειας θα έχει επίσης ως αποτέλεσμα την άμεση απώλεια του δικαιώματος για την καταβολή της ανταμοιβής.
• Παρέχετε λεπτομερείς οδηγίες για την αναπαραγωγή της ευπάθειας και απόδειξη της έννοιας. 
• Εάν δεν μπορούμε να αποδείξουμε τα ευρήματά σας, η αναφορά σας δεν θα είναι επιλέξιμη για πληρωμή. Εκμεταλλευτείτε μόνο ό,τι είναι απαραίτητο για να αποδείξετε μια ευπάθεια ασφαλείας και επιστρέψτε αμέσως όλα τα στοιχεία που έχουν εξαχθεί.
• Απαγορεύεται η αποκάλυψη ευπάθειας σε άλλα άτομα.
• Οποιαδήποτε απόπειρα παράκαμψης των διαδικασιών που περιγράφονται στην παρούσα πολιτική θα έχει ως αποτέλεσμα την άμεση απώλεια του δικαιώματος για πληρωμή της ανταμοιβής. 
• Συμπεριλάβετε τη διεύθυνση Bitcoin (BTC) για την πληρωμή. Όλες οι ανταμοιβές θα εκδοθούν σε Bitcoin.
• Τα ελάχιστα όρια πληρωμής ορίζονται παρακάτω. Όλες οι πληρωμές μπορούν να τροποποιηθούν κατά τη διακριτική ευχέρεια της Kraken.
• Η ελάχιστη πληρωμή είναι Bitcoin (BTC) που ισοδυναμεί με 500 δολάρια USD.

Για την επεξεργασία μιας υποβολής αμοιβής εντοπισμού σφαλμάτων ακολουθούνται τα παρακάτω βήματα:

1. Η αναφορά υποβάλλεται στα εισερχόμενα αμοιβών εντοπισμού σφαλμάτων

2. Η Kraken Security επιβεβαιώνει την υποβολή (Συμφωνία επιπέδου υπηρεσιών 1 εργάσιμη ημέρα)

3. Η Kraken Security αξιολογεί την υποβολή (Συμφωνία επιπέδου υπηρεσιών 10 εργάσιμες ημέρες)

4. Η ασφάλεια της Kraken απαντά με αποφασιστικότητα. Εάν θεωρηθεί ότι υπάρχει ευπάθεια, η ειδοποίηση περιλαμβάνει το επίπεδο σοβαρότητας και το ποσό της ανταμοιβής (θα ζητήσουμε μια διεύθυνση BTC)

5. Για ευπάθειες ασφαλείας, η Kraken θα αποστείλει την ανταμοιβή (Συμφωνία επιπέδου υπηρεσιών 14 εργάσιμες ημέρες)

Εάν επιθυμείτε να κρυπτογραφήσετε την υποβολή σας για το πρόγραμμα αμοιβής εντοπισμού σφαλμάτων για πρόσθετη ασφάλεια, μπορείτε να χρησιμοποιήσετε το δημόσιο κλειδί PGP μας. Εισάγετε το κλειδί στον πελάτη PGP, κρυπτογραφήστε την αναφορά σας και, στη συνέχεια, στείλτε την στη διεύθυνση [email protected]. Δεκτές γίνονται και υποβολές χωρίς κρυπτογράφηση. Πώς να εισαγάγετε το δημόσιο κλειδί PGP (προαιρετικό / επιπλέον ασφάλεια):

• Κατεβάστε ή αντιγράψτε το block του δημόσιου κλειδιού χρησιμοποιώντας τον σύνδεσμο Κρυπτογράφηση στο https://www.kraken.com/.well-known/security.txt (κατεβάστε το αρχείο https://www.kraken.com/.well-known/pgp-key.txt ή απλώς αντιγράψτε το κείμενο που ξεκινάει με -----BEGIN PGP PUBLIC KEY BLOCK-----)
• Ανοίξτε το PGP ή το GPG client σας (π.χ. GnuPG στη γραμμή εντολών, OpenPGP Key Manager του Thunderbird ή GNOME Seahorse / «Κωδικοί και κλειδιά πρόσβασης»).
• Χρησιμοποιήστε τη λειτουργία «Εισαγωγή κλειδιού» του πελάτη για να προσθέσετε το κλειδί στην κλειδοθήκη.
• (Προαιρετικό) Επαληθεύστε το δακτυλικό αποτύπωμα του κλειδιού μαζί μας για να διασφαλίσετε την αυθεντικότητά του.

• 26 αναφορές βραβεύτηκαν το τελευταίο έτος
• 434 αναφορές υποβλήθηκαν το τελευταίο έτος
• 3962 $ μέση πληρωμή κατά το τελευταίο έτος

Δείτε παρακάτω μερικούς από τους ερευνητές που έχουν ήδη βραβευτεί μέσω του προγράμματος αμοιβών εντοπισμού σφαλμάτων της Kraken.

Κρίσιμη

Τα ζητήματα κρίσιμης βαρύτητας αποτελούν άμεσο και επείγον κίνδυνο για ένα ευρύ φάσμα των χρηστών μας ή για την ίδια την Kraken. Συχνά επηρεάζουν σχετικά χαμηλού επιπέδου/θεμελιώδη στοιχεία σε μία από τις στοίβες εφαρμογών ή την υποδομή μας. Για παράδειγμα:

• αυθαίρετη εκτέλεση κώδικα/εντολών σε διακομιστή του δικτύου παραγωγής μας.
• αυθαίρετες ερωτήσεις σε μια βάση δεδομένων παραγωγής.
• παράκαμψη της διαδικασία σύνδεσης, είτε με κωδικό πρόσβασης είτε με 2FA.
• πρόσβαση σε ευαίσθητα δεδομένα χρηστών παραγωγής ή πρόσβαση σε εσωτερικά συστήματα παραγωγής.

Υψηλή

Τα προβλήματα υψηλής βαρύτητας επιτρέπουν σε έναν εισβολέα να διαβάσει ή να τροποποιήσει εξαιρετικά ευαίσθητα δεδομένα στα οποία δεν έχει εξουσιοδότηση πρόσβασης. Γενικά έχουν πιο περιορισμένο εύρος από τα κρίσιμα ζητήματα, αν και μπορεί να παρέχουν στον εισβολέα εκτεταμένη πρόσβαση. Για παράδειγμα:

• XSS που παρακάμπτει το CSP
• Ανακάλυψη ευαίσθητων δεδομένων χρήστη σε δημόσια προσβάσιμο πόρο
• Απόκτηση πρόσβασης σε ένα μη κρίσιμο σύστημα, στο οποίο ένας λογαριασμός τελικού χρήστη δεν θα έπρεπε να έχει πρόσβαση.

Μεσαίο

Τα προβλήματα μεσαίας βαρύτητας επιτρέπουν σε έναν εισβολέα να διαβάσει ή να τροποποιήσει περιορισμένες ποσότητες δεδομένων στις οποίες δεν έχει εξουσιοδότηση πρόσβασης. Γενικά παρέχουν πρόσβαση σε λιγότερο ευαίσθητες πληροφορίες από ό,τι τα ζητήματα υψηλής βαρύτητας. Για παράδειγμα:

• Αποκάλυψη μη ευαίσθητων πληροφοριών από ένα σύστημα παραγωγής στο οποίο ο χρήστης δεν θα έπρεπε να έχει πρόσβαση
• XSS που δεν παρακάμπτει το CSP ή δεν εκτελεί ευαίσθητες ενέργειες στη συνεδρία ενός άλλου χρήστη
• CSRF για ενέργειες χαμηλού κινδύνου

Χαμηλή

Τα ζητήματα χαμηλής βαρύτητας επιτρέπουν σε έναν εισβολέα να έχει πρόσβαση σε εξαιρετικά περιορισμένο όγκο δεδομένων. Μπορεί να παραβιάζουν τις προσδοκίες για τον τρόπο λειτουργίας ενός συστήματος, αλλά δεν επιτρέπουν σχεδόν καμία κλιμάκωση προνομίων ή δυνατότητα πρόκλησης ανεπιθύμητης συμπεριφοράς από έναν εισβολέα. Για παράδειγμα:

• Ενεργοποίηση λεπτομερών σελίδων σφαλμάτων ή σελίδων σφαλμάτων εντοπισμού σφαλμάτων χωρίς απόδειξη εκμετάλλευσης ή απόκτηση ευαίσθητων πληροφοριών.

Ακαταλληλότητα

Οι αναφορές που δεν μας ενδιαφέρουν και δεν είναι επιλέξιμες για ανταμοιβή περιλαμβάνουν:

• Ευπάθειες σε ιστότοπους που φιλοξενούνται από τρίτους (support.kraken.com κ.λπ.), εκτός εάν οδηγούν σε ευπάθεια στον κύριο ιστότοπο. Ευπάθειες και σφάλματα στο blog της Kraken (blog.kraken.com).
• Ευπάθειες που εξαρτώνται από φυσικές επιθέσεις, κοινωνική μηχανική, spam, επιθέσεις DDOS κ.λπ.
• Ευπάθειες που επηρεάζουν παλιά ή μη ενημερωμένα προγράμματα περιήγησης.
• Ευπάθειες σε εφαρμογές τρίτων που χρησιμοποιούν το API της Kraken.
• Ευπάθειες που έχουν δημοσιοποιηθεί σε βιβλιοθήκες τρίτων ή τεχνολογία που χρησιμοποιείται σε προϊόντα, υπηρεσίες ή υποδομές της Kraken νωρίτερα από 30 ημέρες μετά τη δημοσιοποίηση του προβλήματος.
• Ευπάθειες που έχουν δημοσιοποιηθεί πριν από την έκδοση μιας ολοκληρωμένης επιδιόρθωσης από την Kraken.
• Ευπάθειες που είναι ήδη γνωστές σε εμάς ή έχουν ήδη αναφερθεί από κάποιον άλλο (η ανταμοιβή πηγαίνει στο πρώτο άτομο που τις ανέφερε).
• Προβλήματα που δεν μπορούν να επαναληφθούν.
• Ευπάθειες που απαιτούν ένα απίθανο επίπεδο αλληλεπίδρασης του χρήστη.
• Ευπάθειες που απαιτούν root/jailbreak σε κινητά.
• Λείπουν κεφαλίδες ασφαλείας χωρίς απόδειξη εκμετάλλευσης.
• Προσφερόμενα σύνολα κρυπτογράφησης TLS.
• Προτάσεις για βέλτιστες πρακτικές.
• Γνωστοποίηση έκδοσης λογισμικού.
• Οποιαδήποτε αναφορά χωρίς λεπτομερείς οδηγίες βήμα προς βήμα και συνοδευτική απόδειξη της αξιοποίησης της έννοιας.
• Ζητήματα για τα οποία δεν μπορεί να αναμένεται εύλογα να κάνουμε κάτι, όπως ζητήματα τεχνικών προδιαγραφών που η Kraken πρέπει να εφαρμόσει για να συμμορφωθεί με τα πρότυπα αυτά.
• Τα αποτελέσματα από αυτοματοποιημένα εργαλεία/σαρωτές ή εκθέσεις που δημιουργούνται με τεχνητή νοημοσύνη.
• Ζητήματα χωρίς καμία επίπτωση στην ασφάλεια.

Ζητήματα που δεν σχετίζονται με την ασφάλεια

Μπορείτε να μας ενημερώσετε για ζητήματα που δεν σχετίζονται με την ασφάλεια στη διεύθυνση https://support.kraken.com.