• A Kraken a Bug Bounty program keretein belül támogatja a biztonsági sebezhetőségek felelős közzétételét.
• A kutatóknak az írott szabályzatot kell követniük. A szabályzat nem alku tárgya.
• A legfontosabb szabályok:
  • Jóhiszeműen járj el, és kerüld a szabálysértéseket.
  • Ne tegyél a szükségesnél többet egy sebezhetőség bizonyításához. 
  • Ne tegyél fenyegetéseket, ne követelj váltságdíjat.
  • Jelentsd a sebezhetőségeket – utasításokkal és a működőképességet bizonyító kiaknázási móddal – amint felfedezted és igazoltad őket.
• A vonatkozó törvényeknek való megfelelés a kutatók felelőssége.
• A szabályaink megsértésére irányuló kísérletek azonnali kizárást jelentenek ebből a programból. A fenyegetéseket vagy a zsarolási kísérleteket továbbíthatjuk a hatóságoknak.
• Ha kérdésed van, írj a [email protected] e-mail-címre.

A Kraken erősen hisz abban, hogy a biztonsági szakérték és fejlesztők értékes segítséget jelenthetnek a termékeink és felhasználóink biztonságának megvédésében. A Kraken lehetőséget hozott létre a koordinált sebezhetőségközlésre (CVD, coordinated vulnerability disclosure), és ösztönzi azt a Bug Bounty programon keresztül. A Bug Bounty program úgy támogatja a Kraken küldetését, hogy elősegíti az ügyfelek védelmét a digitális valutapiacon.

Azzal, hogy hibákat keresel a Kraken rendszereiben, beleegyezel abba, hogy minden adatot, a sebezhetőségekről szóló információkat, a kutatásodat és a Krakennel végzett kommunikációdat szigorúan titkosan kezeled, amíg a Kraken megoldja a problémát, és engedélyt ad neked a közzétételre. 

Amennyiben betartod ennek a Szabályzatnak a követelményeit, a Kraken beleegyezik, hogy nem kezdeményez jogi keresetet az olyan biztonsági kutatásokkal kapcsolatban, amelyek követik a Kraken Bug Bounty szabályzatait, beleértve a jóhiszeműséget és a véletlen szabálysértéseket. 

Amennyiben lehetséges, kerüld a szabályzatok tesztfiókokkal való létrehozásának megsértését. Amennyiben személyazonosításra alkalmas adatokra („PII”) bukkansz, vagy egyéb bizalmas adatokat találsz olyan fiókokról, amelyek esetében nem rendelkezel a fióktulajdonos írásbeli engedélyével, hogy a fiókot az eredményeid igazolására használd, szüntesd meg azonnal az ezen adatokhoz való hozzáférést, és jelentsd a problémát a Krakennek. Csak a személyazonosításra alkalmas vagy egyéb bizalmas adatok leírását továbbítsd, magukat az adatokat ne.

Az adatvédelmi irányelveknek és az adatvédelmi szabályzatainknak megfelelően:

• Ne továbbítsd vagy tárold más ügyfelek személyazonosításra alkalmas adatait. Ha rögzíted egy ügyfél személyazonosításra alkalmas adatait, azonnal jelentsd ezt a Krakennek, majd a nem hozzád tartozó személyazonosításra alkalmas adatok összes példányát semmisítsd meg. 
• Minimalizáld az adatgyűjtést és az adatokhoz való hozzáférést a kutatás során. Csak olyan adatokat gyűjts és tárolj, amelyek elengedhetetlenek a sebezhetőség bemutatásához és jelentéséhez. 
• A jelentés beküldése után, amint a Kraken visszaigazolta ezek fogadását, azonnal és biztonságosan töröld az összes begyűjtött adatot.
• Ne közöld a sebezhetőségeket vagy az azokhoz kapcsolódó információkat harmadik felekkel a Kraken kifejezett írásbeli beleegyezése nélkül. Ez többek között magában foglalja a közösségi médiát, egyéb feleket vagy a sajtót is.
• Ha nem biztonsági sebezhetőséget jelentesz, hanem egy adatvédelmi incidenst vagy egy adattár helyét, add meg az adatok helyét, és ne férj hozzájuk tovább, és ne oszd meg másokkal az adatok helyét.

A Bug Bounty-beküldések soha nem tartalmazhatnak fenyegetéseket vagy zsarolási kísérleteket. Nyitottak vagyunk arra, hogy díjat fizessünk a törvényesen talált problémákért, a zsarolási követelések azonban nem jogosultak a kifizetésre. Például: zsarolási követelésnek tekinthető, ha nem adod meg a sebezhetőségre vonatkozó információkat, vagy egyéb módon hátráltatod a képességünket a sebezhetőség megoldására, amíg nem teljesítjük más követeléseidet. Előfordulhat, hogy a zsarolási követeléseket tartalmazó Bug Bounty-beküldéseket jelentenünk kell a hatóságoknak, vagy önként is határozhatunk erről. 

Véleményünk szerint a jelen szabályzatnak megfelelő tevékenységek „engedélyezett” viselkedésnek tekinthetők a Computer Fraud and Abuse Act (CFAA), a Digital Millennium Copyright Act (DMCA), valamint a vonatkozó hackelésellenes törvények, úgy mint a kaliforniai btk. 503(c) pontja szerint. A Bug Bounty program keretében nem nyújtunk be keresetet a kutatók ellen azon technológiai intézkedések megkerüléséért, amelyeket az alkalmazások védelme érdekében vezettünk be. A szabályzat betartása azonban nem jelenti azt, hogy a Kraken vagy egy különálló szervezet vagy kormányzat mentességet biztosít a globális törvények alól. Az egyes biztonsági kutatók felelőssége, hogy megértsék a hackelésellenes, adatokkal és adatvédelemmel, valamint az exportszabályozásokkal kapcsolatos helyi és nemzetközi törvényeket, valamint hogy megfeleljenek ezeknek. Ha egy harmadik fél keresetet indít ellened, és te követted az ebben a szabályzatban megadott feltételeket, a Kraken tájékoztatja az illetékes bűnüldözési hatóságokat vagy a polgári felperest, hogy a kutatási tevékenységedet a legjobb tudásunknak megfelelően a program feltételei szerint és azoknak megfelelően végezted.

Minden kutatónak értesítenie kell bennünket, mielőtt olyan tevékenységet végez, amely nem felel meg ennek a szabályzatnak, vagy a szabályzat nem érinti azt. Szívesen fogadjuk a szabályzat egyértelműsítésével kapcsolatos javaslatokat, amelyek elősegítik, hogy a kutatók a kutatásaikat és az eredményeik jelentését magabiztosan végezhessék.

A beküldött találatokat a Kraken kiértékeli, és a kifizetés a sebezhetőségi értékelés alapján történik. Minden kifizetést BTC-ben eszközölünk az igazolt Kraken-számládra; a beküldésekre az útmutatóink vonatkoznak, amelyek módosulhatnak.

• Minden hibabejelentést a [email protected] e-mail-címre, a program egyetlen hivatalos kapcsolattartási módjára kell beküldeni. Ne használj külső webhelyeket a sebezhetőségek adatainak beküldésére. Minden külső webhely vagy portál nem hivatalos, a Kraken azokat nem hagyta jóvá.
• A Bug Bounty-kifizetések megkapásához:
  • Középhaladó szinten kell regisztrálnod. Lásd: Fiók létrehozása – https://www.kraken.com/sign-up
  • AKTÍV fiókkal kell rendelkezned
  • Adj meg hitelesítési dokumentumokat. Lásd még: https://support.kraken.com/hc/en-us/articles/360000672203-Document-requirements-for-verification
• Ha fizetést vagy egyéb említést kérsz tőlünk a sebezhetőség részleteinek közléséért cserébe, azonnal megszűnik a jogosultságod a kifizetésekre. Ha nem adod át a sebezhetőség részleteit, szintén azonnal megszűnik a jogosultságod a kifizetésekre.
• Adj meg részletes utasításokat a sebezhetőség reprodukálásához, valamint a működőképesség igazolását. 
• Ha nem tudjuk reprodukálni az általad találtakat, a bejelentésed nem lesz jogosult kifizetésre. Csak olyan mértékben használd ki a hibát, amely a biztonsági sebezhetőség bizonyításához szükséges, és azonnal térítsd vissza az esetlegesen kinyert erőforrásokat.
• Tilos más személyekkel közölni a sebezhetőségeket.
• A szabályzatban lefektetett eljárások megkerülésének bármilyen nemű kísérlete esetén azonnal elveszíted a jogosultságod a kifizetésekre. 
• Add meg a kifizetéshez Bitcoin (BTC) címedet. Minden jutalmat Bitcoinban fizetünk ki.
• A fizetési minimumokat alább olvashatod. Minden kifizetés a Kraken saját belátása szerint módosítható.
• A minimális kifizetés 500 USD értékű Bitcoin (BTC).

A Bug Bounty-beküldések feldolgozásának a következők a lépései:

1. Beküldik a jelentést a Bug Bounty levelezőfiókjára

2. A Kraken biztonsági osztálya nyugtázza a beküldést (SLA 1 munkanap)

3. A Kraken biztonsági osztálya teszteli a beküldést (SLA 10 munkanap)

4. A Kraken biztonsági osztálya választ küld a megállapításairól; ha sebezhetőségnek tekintjük a beküldést, az értesítés tartalmazza a súlyossági szintet és a jutalom mértékét (BTC-címet fogunk kérni)

5. A biztonsági sebezhetőségek esetén a Kraken elküldi a jutalmat (SLA 14 munkanap)

Ha a fokozott biztonság érdekében titkosítani szeretnéd a Bug Bounty-beküldésedet, használhatod a PGP nyilvános kulcsunkat. Importáld a kulcsot a PGP kliensbe, titkosítsd a jelentésed, majd küldd el a [email protected] e-mail-címre. A titkosítás nélküli beküldéseket is befogadjuk. PGP nyilvános kulcs importálása (opcionális/fokozza a védelmet):

• Töltsd le vagy másold ki a nyilvánoskulcs-blokkot a Titkosítás hivatkozás használatával itt: https://www.kraken.com/.well-known/security.txt (töltsd le a https://www.kraken.com/.well-known/pgp-key.txt fájlt, vagy csak másold ki a következővel kezdődő szöveget: -----BEGIN PGP PUBLIC KEY BLOCK-----)
• Nyisd meg a PGP- vagy GPG-kliensedet (pl. GnuPG a parancssorban, a Thunderbird OpenPGP kulcskezelője vagy a GNOME Seahorse / „Jelszavak és kulcsok”).
• Add hozzá a kulcsot a kulcskarikádhoz a kliens „Kulcs importálása ” funkciójával.
• (Opcionális) Ellenőrizd nálunk a kulcs ujjlenyomatát az eredetiség biztosításához.

• 26 bejelentést jutalmaztunk meg az előző évben
• 434 jelentést kaptunk az előző évben
• 3962 USD-t fizettünk ki átlagosan az előző évben

Alább olvashatsz néhány kutatóról, akiket korábban már megjutalmaztunk a Kraken Bug Bounty programján keresztül.

Kritikus

A kritikus súlyosságú problémák közvetlen és azonnali veszélyt jelentenek ügyfeleink széles körére vagy magára a Krakenre. Gyakran viszonylag alacsony szintű/alapszintű összetevőket érintenek az egyik alkalmazásvermünkben vagy az infrastruktúránkban. Például:

• egy kód/parancs önkényes végrehajtása a működési hálózatunk egyik kiszolgálóján.
• önkényes lekérdezések egy működési adatbázison.
• bejelentkezési folyamat (jelszó vagy 2FA) megkerülése.
• bizalmas műveleti felhasználói adatokhoz vagy belső műveleti rendszerekhez való hozzáférés.

Legmagasabb

A magas súlyosságú problémák lehetővé teszik a támadó részére olyan erősen bizalmas adatok olvasását vagy módosítását, amelyekhez nincs hozzáférési engedélye. Ezek általában szűkebb hatókörűek, mint a kritikus problémák, azonban továbbra is széles körű hozzáférést adhatnak a támadó részére. Például:

• A CSP-t megkerülő XSS
• Bizalmas felhasználói adatok felfedezése egy nyilvánosan kitett forrásban
• Hozzáférés megszerzése egy nem kritikus rendszerhez, amelyhez egy végfelhasználói fióknak nem szabadna hozzáférnie

Közepes

A közepes súlyosságú problémák lehetővé teszik a támadó részére olyan adatok korlátozott mennyiségének olvasását vagy módosítását, amelyekhez nincs hozzáférési engedélye. Ezek általában kevésbé bizalmas adatokhoz biztosítanak hozzáférést, mint a magas súlyosságú problémák. Például:

• Nem bizalmas adatok közlése egy olyan működési rendszerből, amelyhez a felhasználónak nem szabadna hozzáférnie
• Olyan XSS, amely nem kerüli meg a CSP-t, vagy nem hajt végre érzékeny műveleteket egy másik felhasználó munkamenetében
• CSRF az alacsony kockázatú műveletekhez

Legalacsonyabb

Az alacsony súlyosságú problémák nagyon korlátozott mennyiségű adathoz biztosítanak hozzáférést a támadó részére. Előfordulhat, hogy megszegik valami célzott működésével kapcsolatos elvárásokat, de nem teszik lehetővé jogosultságok szinte bármilyen szintű eszkalációját, és nem adnak lehetőséget arra, hogy a támadó kéretlen viselkedést indítson el. Például:

• Részletes vagy hibakeresési oldalak megnyitása kiaknázhatóság bizonyítéka valamint bizalmas adatok megszerzése nélkül.

Jogosulatlanság

Például a következő típusú bejelentésekre nem tartunk igényt, és ezek nem jogosultak jutalmakra:

• Sebezhetőségek harmadik felek által működtetett webhelyeken (support.kraken.com stb.), kivéve, ha a fő webhely sebezhetőségére vezetnek. Sebezhetőségek és hibák a Kraken blogon (blog.kraken.com).
• Fizikai támadásra, érzelmi manipulációra, spamelésre DDOS-támadásokra stb. támaszkodó sebezhetőségek.
• Elavult vagy nem javított böngészőket érintő sebezhetőségek.
• Sebezhetőségek a Kraken API-ját használó harmadik fél alkalmazásokban.
• Olyan sebezhetőségek, amelyek nyilvánosan közlésre kerültek harmadik fél könyvtárakban vagy a Kraken termékeiben, szolgáltatásaiban vagy infrastruktúrájában használatos technológiákban a probléma nyilvános közlését követő kevesebb mint 30 napon belül.
• Olyan sebezhetőségek, amelyek nyilvánosan közzétételre kerültek, mielőtt a Kraken átfogó javítást biztosított rájuk.
• Az általunk már ismert vagy mások által jelentett sebezhetőségek (az első bejelentő kapja a jutalmat).
• A nem reprodukálható problémák.
• Valótlan szintű felhasználói interakciót igénylő sebezhetőségek.
• Mobileszköz rootolását/jailbreakelését igénylő sebezhetőségek.
• Hiányzó biztonsági fejlécek a kihasználhatóság bizonyítéka nélkül.
• Felkínált TLS titkosítócsomagok.
• Bevált gyakorlatokkal kapcsolatos javaslatok.
• Szoftververzióval kapcsolatos közlés.
• A részletes, lépéseket bemutató utasítások és ezekhez kapcsolódó működőképesség-igazolás nélküli bejelentések.
• Olyan problémák, amelyekkel kapcsolatban észszerűen nem elvárhat, hogy cselekedjünk, például olyan műszaki specifikációkkal kapcsolatos problémák, amelyeket a Krakennek be kell vezetnie az adott standardoknak való megfelelés érdekében.
• Automatizált eszközök/vizsgálók kimenete vagy AI által generált jelentések.
• Biztonsági hatás nélküli problémák.

Nem biztonsági problémák

A nem biztonsági problémákkal kapcsolatban itt tájékoztathatsz minket: https://support.kraken.com.