• Kraken kannustaa tietoturva-aukkojen vastuulliseen ilmoittamiseen Bug Bounty -ohjelman kautta.
• Tutkijoiden täytyy noudattaa kirjallisia toimintaohjeita. Näistä toimintaohjeista ei jousteta.
• Keskeiset säännöt:
  • Toimi vilpittömässä mielessä äläkä riko toimintaohjeita.
  • Tee vain tarvittava haavoittuvuuden todistamiseksi. 
  • Älä esitä uhkauksia tai lunnasvaatimuksia.
  • Ilmoita haavoittuvuuksista ja sisällytä ohjeet ja haavoittuvuuden osoittava koodi (proof of concept exploit) heti, kun haavoittuvuus on havaittu ja validoitu.
• Tutkijoiden on noudatettava kaikkia sovellettavia lakeja.
• Jos toimintaohjeitamme yritetään loukata tai rikkoa, kyseinen henkilö suljetaan välittömästi tämän ohjelman ulkopuolelle. Uhkauksista tai kiristysyrityksistä voidaan ilmoittaa lainvalvontaviranomaisille.
• Jos et ole varma jostain, pyydä selvennystä kirjoittamalla osoitteeseen [email protected].

Kraken uskoo vahvasti, että tietoturva-ammattilaiset ja kehittäjät ovat arvokkaita ja auttavat pitämään tuotteemme ja käyttäjämme turvassa. Kraken on luonut puitteet koordinoidulle haavoittuvuuksien julkaisemiselle ja kannustaa siihen Bug Bounty -ohjelmansa kautta. Bug Bounty -ohjelma tukee Krakenin päämäärää ja auttaa suojaamaan asiakkaita kryptovaluuttamarkkinoilla.

Etsimällä bugeja Krakenin järjestelmistä sitoudut pitämään kaiken haavoittuvuuksia ja tutkimustasi koskevan datan ja tiedot sekä Krakenin kanssa käymäsi yhteydenpidon ehdottoman luottamuksellisena, kunnes Kraken on korjannut ongelman ja myöntänyt luvan julkistamiseen. 

Jos näiden toimintaohjeiden vaatimuksia noudatetaan, Kraken ei ryhdy oikeudellisiin toimenpiteisiin tietoturvatutkimuksista, joissa on noudatettu kaikkia julkaistuja Krakenin Bug Bounty -toimintaohjeita. Tämä käsittää myös vilpittömässä mielessä tahattomasti tehdyt rikkomukset. 

Vältä tahallisia toimintaohjeiden rikkomuksia luomalla testaustilejä aina, kun se on mahdollista. Jos kohtaat henkilön yksilöiviä tietoja tai muita arkaluonteisia tietoja tileistä, joiden käyttöön sinulla ei ole nimenomaista kirjallista suostumusta löytöjesi validointia varten, lopeta kyseisten tietojen käyttö välittömästi ja ilmoita ongelmasta Krakenille. Sisällytä ilmoitukseen kuvaus henkilön yksilöivistä tiedoista tai muista arkaluonteisista tiedoista, mutta älä sisällytä itse tietoja.

Toimi tietosuojamääräysten ja tietoturvakäytäntöjemme mukaisesti:

• Älä tallenna tai siirrä muiden asiakkaiden yksilöiviä tietoja. Jos satut ottamaan talteen mitä tahansa asiakkaita yksilöiviä tietoja, ilmoita asiasta välittömästi Krakenille ja tuhoa sitten kaikki kopiot henkilön yksilöivistä tiedoista, jotka eivät ole sinun. 
• Minimoi tietojen kerääminen ja pääsy tietoihin tutkimuksesi aikana. Kerää ja säilytä vain tietoja, jotka ovat ehdottoman välttämättömiä haavoittuvuuden osoittamiseen ja siitä ilmoittamiseen. 
• Poista välittömästi ja tietoturvallisesti kaikki keräämäsi tiedot, kun olet toimittanut raportin ja Kraken on vahvistanut vastaanottaneensa sen.
• Älä paljasta mitään haavoittuvuuksia tai niihin liittyviä tietoja kolmansille osapuolille ilman Krakenin nimenomaista kirjallista suostumusta. Tämä käsittää muun muassa sosiaalisen median, muut yritykset ja tiedotusvälineet.
• Jos ilmoitat tietoturvaloukkauksesta tai datarepositorion sijainnista tietoturvahaavoittuvuuden sijaan, ilmoita datan sijainti, lopeta kyseisen datan käyttö äläkä paljasta datan sijaintia muille.

Bug Bounty -ilmoitus ei saa koskaan sisältää uhkauksia eikä minkäänlaisia kiristysyrityksiä. Maksamme palkkioita hyväksyttävistä löydöksistä, mutta lunnasvaatimukset eivät oikeuta maksuun. Jos esimerkiksi tietoja haavoittuvuudesta ei paljasteta tai haavoittuvuuden korjaamista häiritään muilla tavoin, kunnes muihin vaatimuksiin suostutaan, se katsotaan lunnasvaatimukseksi. Laki voi velvoittaa meitä ilmoittamaan tai voimme ilmoittaa vapaaehtoisesti viranomaisille Bug Bounty -ilmoituksista, joihin sisältyy lunnasvaatimuksia. 

Uskomme, että näiden toimintaohjeiden mukaisesti toteutetut toimet ovat ”luvallista” toimintaa Yhdysvaltojen Computer Fraud and Abuse Act (CFAA) -lain, Digital Millennium Copyright Act (DMCA) -lain sekä sovellettavien hakkeroinnin vastaisten lakien, kuten Kalifornian rikoslain 503(c), mukaisesti. Emme nosta kannetta tutkijoita vastaan sovellusten suojaamiseksi käyttämiemme teknisten menetelmien kiertämisestä Bug Bounty -ohjelman puitteissa. Näiden toimintaohjeiden noudattaminen ei kuitenkaan tarkoita, että Kraken tai mikään muu yksittäinen organisaatio tai hallitus voi myöntää koskemattomuutta maailmanlaajuisilta laeilta. Yksittäisen tietoturvatutkijan vastuulla on ymmärtää kaikki sovellettavat paikalliset ja kansainväliset hakkeroinnin torjuntaa, tietoturvaa ja tietosuojaa ja vientivalvontaa koskevat lait ja noudattaa niitä. Jos jokin kolmas osapuoli nostaa kanteen sinua vastaan ja olet noudattanut näiden toimintaohjeiden ehtoja, Kraken ilmoittaa asiaankuuluville lainvalvontaelimille tai siviilikanteen esittäjille, että tutkimustoimesi olivat parhaan käsityksemme mukaan tämän ohjelman ehtojen mukaisia.

Jokaisen tutkijan on ilmoitettava meille ennen ryhtymistä toimiin, jotka voivat olla näiden toimintaohjeiden vastaisia tai joihin ei näissä toimintaohjeissa ole puututtu. Otamme mielellämme vastaan ehdotuksia toimintaohjeiden selkeyttämisestä, jotta tutkijat voivat suorittaa tutkimuksiaan ja ilmoittaa niistä luottavaisin mielin.

Kraken luokittelee kaikki Bug Bounty -ilmoitukset ja maksaa niistä haavoittuvuusluokituksen mukaan. Kaikki maksut suoritetaan BTC:nä vahvistetulle Kraken-tilillesi. Maksut on määritetty ohjeellisesti, ja ne voivat muuttua.

• Kaikki bugiraportit on lähettävä osoitteeseen [email protected], joka on tämän ohjelman ainoa virallinen yhteystieto. Älä käytä ulkoisia sivustoja haavoittuvuustietojen toimittamiseen. Ulkoiset sivustot tai portaalit ovat epävirallisia, eivätkä ne ole Krakenin hyväksymiä.
• Bug Bounty -maksujen vastaanottamiseksi
  • sinun on oltava rekisteröitynyt Intermediate-tasolla. Katso: Luo tili https://www.kraken.com/sign-up
  • sinulla on oltava AKTIIVINEN tili
  • sinun on toimitettava asiakirjat varmennusta varten. Katso myös: https://support.kraken.com/hc/en-us/articles/360000672203-Document-requirements-for-verification
• Jos pyydät maksua tai muuta tunnustusta vastineeksi haavoittuvuuden tiedoista, suljemme sinut välittömästi Bug Bounty -maksujen ulkopuolelle. Suljemme sinut välittömästi Bug Bounty -maksujen ulkopuolelle silloinkin, jos et julkaise haavoittuvuuden tietoja.
• Toimita yksityiskohtaiset ohjeet haavoittuvuuden toistamiseksi sekä konseptitodistus (Proof of Concept). 
• Jos emme pysty toistamaan löydöksiäsi, raporttisi ei oikeuta maksuun. Käytä tietoturvahaavoittuvuutta hyväksi vain sen verran kuin on tarpeen haavoittuvuuden osoittamiseksi, ja palauta viipymättä kaikki nostetut varat.
• Haavoittuvuuden paljastaminen muille henkilöille on kielletty.
• Jos yrität ohittaa näissä toimintaohjeissa esitettyjä menettelyjä, suljemme sinut välittömästi Bug Bounty -maksujen ulkopuolelle. 
• Sisällytä Bitcoin (BTC) -osoitteesi maksua varten. Kaikki palkkiot maksetaan bitcoineina.
• Maksujen vähimmäismäärät on määritetty alla. Kraken voi muokata kaikkia maksuja harkintansa mukaan.
• Vähimmäismaksu on 500:aa USD:tä vastaava määrä bitcoineja (BTC).

Bug Bounty -ilmoitus käsitellään seuraavien vaiheiden mukaisesti:

1. Raportti toimitetaan Bug Bounty -ohjelman sähköpostiosoitteeseen

2. Krakenin tietoturvaosasto kuittaa ilmoituksen (yhden työpäivän kuluessa)

3. Krakenin tietoturvaosasto määrittää ilmoituksen kiireellisyystason (10 työpäivän kuluessa)

4. Krakenin tietoturvaosasto lähettää päätöksen sisältävän vastauksen, jos ilmoituksen katsotaan koskevan haavoittuvuutta, ja vastaus sisältää vakavuustason sekä palkkion määrän (pyydämme BTC-osoitteen)

5. Jos kyseessä on tietoturvahaavoittuvuus, Kraken lähettää palkkion (14 työpäivän kuluessa)

Jos haluat salata Bug Bounty -ilmoituksen tietoturvan parantamiseksi, voit käyttää julkista PGP-avaintamme. Tuo avain PGP-ohjelmaasi, salaa raporttisi ja lähetä se sitten osoitteeseen [email protected]. Otamme vastaan myös salaamattomia ilmoituksia. Julkisen PGP-avaimemme tuominen (valinnainen / tietoturvan parantamiseksi):

• Lataa tai kopioi julkisen avaimemme tekstilohko käyttämällä Encryption-linkkiä osoitteessa https://www.kraken.com/.well-known/security.txt (lataa tiedosto https://www.kraken.com/.well-known/pgp-key.txt tai kopioi teksti, joka alkaa -----BEGIN PGP PUBLIC KEY BLOCK-----)
• Avaa PGP- tai GPG-ohjelmasi (esim. GnuPG komentorivillä, Thunderbirdin OpenPGP-avainhallinta tai GNOME Seahorse / ”Passwords & Keys”).
• Lisää avain avaimenperääsi käyttämällä ohjelmassa avaimen tuontiin tarkoitettua toimintoa (Import Key).
• (Valinnainen) Varmenna avaimen sormenjälki kauttamme aitouden varmistamiseksi.

• 26 raportista annettu palkkio vuoden aikana
• 434 raporttia jätetty vuoden aikana
• Maksettu palkkio keskimäärin vuoden aikana 3 962 $ 

Alla on joitain tutkijoita, jotka ovat aiemmin saaneet palkkion Krakenin Bug Bounty -ohjelman kautta.

Kriittinen

Vakavuusasteeltaan kriittiset ongelmat aiheuttavat suoran ja välittömän riskin laajalle Krakenin käyttäjien joukolle tai Krakenille itselleen. Ne vaikuttavat usein melko alhaisen tason tai perustason komponentteihin jossain sovelluspinossamme tai infrastruktuurissamme. Esimerkiksi:

• ACE (Arbitrary Code/Command Execution) palvelimella tuotantoverkossamme
• umpimähkäiset kyselyt tuotantotietokannasta
• kirjautumisprosessimme (joko salasana tai kaksivaiheinen todennus) ohittaminen
• pääsy arkaluonteisiin tuotannon käyttäjätietoihin tai pääsy sisäisiin tuotantojärjestelmiin.

Korkein

Vakavuusasteeltaan merkittävissä ongelmissa tunkeutuja voi lukea tai muokata erittäin arkaluonteisia tietoja, joihin hänellä ei ole käyttöoikeutta. Ne ovat soveltamisalaltaan yleensä kapeampia kuin kriittiset ongelmat, mutta voivat silti antaa tunkeutujalle kattavan pääsyn tietoihin. Esimerkiksi:

• XSS, joka ohittaa CSP:n
• arkaluonteisten käyttäjätietojen löytäminen julkisesti esillä olevasta aineistosta
• pääsy ei-kriittiseen järjestelmään, johon loppukäyttäjällä ei pitäisi olla pääsyä.

Keskitaso

Vakavuusasteeltaan keskitasoisissa ongelmissa tunkeutuja voi lukea tai muokata rajallista määrää tietoja, joihin hänellä ei ole käyttöoikeutta. Näissä ongelmissa tunkeutuja saa yleensä pääsyn tietoihin, jotka eivät ole yhtä arkaluonteisia kuin vakavuusasteeltaan merkittävissä ongelmissa. Esimerkiksi:

• ei-arkaluonteisten tietojen paljastaminen tuotantojärjestelmästä, johon käyttäjällä ei pitäisi olla pääsyä
• XSS, joka ei ohita CSP:tä eikä suorita arkaluonteisia toimia toisen käyttäjän istunnossa
• CSRF riskiltään pienissä toimissa.

Alin

Vakavuusasteeltaan vähäisissä ongelmissa tunkeutuja voi päästä käsiksi erittäin rajalliseen määrään tietoja. Ne voivat rikkoa odotuksen siitä, miten jonkin on tarkoitettu toimivan, mutta tällaisesta tilanteesta ei aiheudu juurikaan oikeuksien laajentumista eikä tunkeutuja onnistu käynnistämään ei-toivottua toimintaa. Esimerkiksi:

• yksityiskohtaisia tietoja sisältävien virhesivujen tai debug-virhesivujen käynnistäminen ilman väärinkäytettävyyden osoittamista tai arkaluonteisten tietojen haltuun saamista.

Kelpaamattomuus

Raportteja, joista emme ole kiinnostuneita ja jotka eivät oikeuta palkkioihin, ovat esimerkiksi:

• haavoittuvuudet kolmansien osapuolten ylläpitämillä sivustoilla (esim. support.kraken.com), elleivät ne johda haavoittuvuuteen pääverkkosivustolla haavoittuvuudet ja bugit Krakenin blogissa (blog.kraken.com)
• haavoittuvuudet, jotka perustuvat fyysiseen hyökkäykseen, käyttäjän manipulointiin, roskapostitukseen, DDOS-hyökkäykseen jne.
• haavoittuvuudet, jotka vaikuttavat vanhentuneisiin selaimiin tai selaimiin, joiden suojausta ei ole päivitetty
• haavoittuvuudet kolmansien osapuolten sovelluksissa, jotka hyödyntävät Krakenin API:tä
• haavoittuvuudet, jotka on esitetty julkisesti kolmannen osapuolen kirjastoissa, tai Krakenin tuotteissa, palveluissa tai infrastruktuurissa käytettävässä teknologiassa olevat haavoittuvuudet, ennen kuin ongelman julkisesta paljastamisesta on kulunut 30 päivää
• haavoittuvuudet, jotka on julkaistu julkisesti ennen kuin Kraken on julkaissut kattavan korjauksen
• haavoittuvuudet, jotka ovat jo tiedossamme tai jotka joku muu on jo raportoinut (palkkio annetaan ensimmäiselle raportoijalle)
• ongelmat, jotka eivät ole toistettavissa
• haavoittuvuudet, jotka edellyttävät epätodennäköistä käyttäjän vuorovaikutuksen tasoa
• haavoittuvuudet, jotka edellyttävät root-/jailbreak-prosessia mobiilisovelluksessa
• puuttuvat tietoturvaotsikot ilman, että väärinkäyttömahdollisuus voidaan osoittaa
• tarjottavat TLS-salausohjelmat
• parhaita käytäntöjä koskevat ehdotukset
• ohjelmistoversion paljastus
• raportit, joissa ei ole yksityiskohtaisia ja vaiheittaisia ohjeita ja joiden mukana ei ole haavoittuvuuden osoittavaa koodia (proof of concept exploit)
• ongelmat, joihin meidän ei voi kohtuudella odottaa voivan vaikuttaa, kuten ongelmat teknisissä määrityksissä, jotka Krakenin täytyy ottaa käyttöön kyseisten standardien vaatimusten täyttämiseksi
• automaattisten työkalujen/skannerien tuotokset tai tekoälyllä luodut raportit
• ongelmat, joilla ei ole vaikutusta tietoturvaan.

Muut kuin tietoturvaa koskevat ongelmat

Voit ilmoittaa meille muista kuin tietoturvaan liittyvistä ongelmista osoitteessa https://support.kraken.com.