• Kraken은 보안 취약점 신고 프로그램을 통해 보안 취약점을 알릴 것을 장려합니다.
• 연구원은 서면 정책을 따라야 합니다. 이 정책은 협상 불가합니다.
• 핵심 규칙:
  • 신의에 따라 행동하며 정책을 위반하지 마세요.
  • 취약점 입증에 필요한 이상의 행동을 삼가해주세요. 
  • 위협하거나 랜섬 요구를 삼가해주세요.
  • 취약성을 발견하고 검증한 즉시 악용 개념에 대한 안내와 증명을 포함하여 취약성을 신고해주세요.
• 연구원은 모든 관련 법을 준수할 책임이 있습니다.
• 당사의 정책을 와해시키거나 위반하면 본 프로그램에면 대한 자격을 즉시 잃게 됩니다. 위협 또는 갈취 시도는 검찰에 회부될 수 있습니다.
• 프로그램에 대해 질문이 있는 경우 [email protected]에 알려주시기 바랍니다.

Kraken은 당사의 상품과 사용자의 안전을 돕는 보안 전문가와 개발자의 가치를 높이 신뢰합니다. Kraken은 당사의 보안 취약점 신고 프로그램을 통해 협동 취약점 공개(CVD) 제도를 수립하여 수행할 것을 장려합니다. 보안 취약점 신고 프로그램은 디지털 화폐 시장에서 고객을 보호함으로써 Kraken의 미션을 담당합니다.

Kraken 시스템에서 오류를 찾음으로써 귀하는 Kraken이 해당 문제를 해결하고 공개를 허가할 때까지 취약성에 대한 모든 데이터, 정보, 귀하의 조사 및 Kraken과의 의사소통을 엄격히 기밀로 유지할 것에 동의하게 됩니다. 

본 정책의 규정을 준수하는 경우 Kraken은 신의, 부주의한 정책 위반을 포함하여 게시된 모든 Kraken 보안 취약점 신고 프로그램을 따르면서 귀하가 수행한 보안 조사에 대해 법적 소송을 하지 않을 것을 동의합니다. 

가급적 테스트 계정을 생성하여 고의적으로 개인정보 보호 정책을 위반하지 않도록 하세요. 귀하의 조사 결과를 입증하는 데 계정 소유자의 명확한 서면 동의를 얻지 못한 상태에서 계정에서 개인 식별 정보(‘PII’) 또는 민감한 정보를 보게된 경우, 즉시 해당 정보의 접근을 중단하고 Kraken에 (해당 정보 자체가 아니라) PII 또는 기타 민감한 정보에 대한 설명과 함께 해당 문제를 보고하세요.

정보 보호 규정과 당사의 개인정보 보호 정책에 따라 귀하는 다음 사항을 따라야 합니다.

• 다른 고객의 PII를 저장하거나 전송하지 말 것. 고객의 PII를 우연히 포착하게 된 경우 이를 즉시 Kraken에 보고한 후 귀하의 것이 아닌 모든 PII 복사본을 삭제합니다. 
• 조사 중 데이터 수집과 접근을 최소화합니다. 취약성을 입증하고 신고하는 데 절대적으로 필요한 정보만 수집 및 보유하세요. 
• 보고서를 제출하고 Kraken이 보고서를 받은 것으로 확인되는 즉시 수집한 모든 데이터를 즉시, 안전하게 삭제하세요.
• Kraken의 명확한 서면 동의 없이 제3자에게 모든 취약성 또는 관련 정보를 공개하지 마세요. 여기에는 소셜 미디어, 타회사 또는 언론을 포함하며 이에 국한되지 않습니다.
• 보안 취약성 대신 데이터 규정 위반 또는 데이터 보관 위치를 보고하려는 경우, 데이터의 위치를 제공하고 이러한 데이터에 추가로 접근하거나 타인에게 데이터의 위치를 공유하지 마세요.

보안 취약점을 제출 시 어떠한 위협이나 갈취 시도가 없어야 합니다. 당사는 정당한 조사 결과에 포상을 지급하지만, 랜섬 요구는 지급에서 제외됩니다. 예를 들어, 기타 요구를 들어줄 때까지 취약점에 대한 정보를 알리지 않거나 취약점을 해결을 방해하는 것은 랜섬 요구로 간주됩니다. 당사는 법에 따르거나 자발적으로 랜섬 요구가 있는 모든 보안 취약점 제출서를 당국에 신고하도록 결정할 수 있습니다. 

당사는 본 정책에 일관된 활동을 컴퓨터 사기 및 남용 방지법(CFAA), 디지털 밀레니엄 저작권법(DMCA), 캘리포니아 형법 503(c)와 같은 해킹 방지법에 따른 "승인된" 활동으로 여깁니다. 당사가 사용한 기술적 조치를 보안 취약점 신고 프로그램의 범위 내에서 애플리케이션을 보호하기 위해 우회하는 연구원에 대해서는 소송을 제기하지 않습니다. 그러나, 본 정책을 따르는 것이 Kraken 또는 다른 개별 기관 또는 정부 기관이 국제법의 적용을 면제해주는 것을 의미하지는 않습니다. 해킹 방지, 데이터 및 개인정보 보호 및 정보 전송 규제 관련 모든 현지 및 국제법을 이해하고 준수하는 것은 개별 보안 연구원의 책임입니다. 귀하가 본 정책의 약관을 따랐지만 제3자가 귀하에 대한 소송을 제기한 경우, Kraken은 당사가 아는 한도 내에서 귀하의 조사가 본 프로그램의 약관을 추구하고 준수하여 수행된 것임을 관련 검찰 기관 또는 고소인에게 알릴 것입니다.

각 연구원은 본 정책과 일관되지 않거나 본 정책에서 다루지 않은 활동에 참여하기 전에 당사에 해당 활동에 대해 알려야 합니다. 우리는 연구원들이 조사를 수행하고 자신 있게 보고할 수 있도록 정책의 명확성에 대한 제안을 환영합니다.

모든 보안 취약점 신고 제출서는 Kraken이 평가하고 취약점의 순위에 따라 보상이 지급됩니다. 모든 지급액은 BTC로 귀하가 인증한 Kraken 계정에 입금되며, 이러한 지급은 가이드라인에 따라 정의되며 변경될 수 있습니다.

• 모든 오류 보고서는 본 프로그램의 유일한 공식 이메일인 [email protected]으로 제출해야 합니다. 취약점 상세 정보를 제출하기 위해 외부 사이트를 사용하지 마세요. 모든 외부 사이트 또는 포털은 공식 경로가 아니면 Kraken이 승인하지 않았습니다.
• 보안 취약점 보상을 지급 받으려면 아래 사항을 수행해야 합니다.
  • 중급 수준으로 등록. 다음을 참조하세요. https://www.kraken.com/sign-up에서 계정 생성
  • 활동 계정 보유
  • 인증 문서 제출. https://support.kraken.com/hc/en-us/articles/360000672203-Document-requirements-for-verification도 참조하세요
• 취약점 상세 정보에 대한 대가로 지급 요청 또는 다른 인정을 요구하는 경우 즉시 보안 취약점 지급의 자격을 잃게 됩니다. 취약점 상세 정보를 알리지 않는 것 또한 즉각적인 보안 취약점 지급 자격의 박탈로 이어집니다.
• 취약점을 재현하는 상세한 안내와 개념 증명을 제공하세요. 
• 당사에서 귀하의 조사 결과를 재현하지 못하면 귀하의 보고서는 지급 대상이 되지 않습니다. 보안 취약점을 입증하는 데 필요한 사항만 이용하고 추출된 모든 자산을 즉시 반환하세요.
• 타인에게 보안 취약점을 알리는 것은 금지됩니다.
• 본 정책에 기술된 절차를 우회하려는 시도는 즉각적인 보안 취약점 지급 자격의 박탈로 이어집니다. 
• 지급을 위해 귀하의 Bitcoin(BTC) 주소를 포함하세요. 모든 보상은 Bitcoin으로 발행됩니다.
• 최소 지급액은 아래에 정의되어 있습니다. 모든 지급은 Kraken의 재량에 따라 변경될 수 있습니다.
• 최소 지급액은 $500 USD에 해당하는 Bitcoin (BTC)입니다.

보안 취약점 신고서를 제출하려면 다음 단계를 따르세요.

1. 보안 취약점 신고 메일함에 보고서를 제출하세요

2. Kraken 보안팀에서 제출서를 확인합니다(SLA 1 영업일)

3. Kraken 보안팀에서 제출서를 확인합니다(SLA 10 영업일)

4. Kraken 보안팀이 보고서의 내용을 취약점으로 간주하면 결과에 대해 답신할 것이며, 답신 알림에는 취약 심각도, 보상 금액이 포함됩니다(BTC 주소 요청 예정)

5. Kraken은 보안 취약점에 대해 보상을 지급합니다(SLA 14 영업일)

보안 강화를 위해 귀하의 보안 취약점 제출서를 암호화하고 싶은 경우 PGP 공개 키를 사용할 수 있습니다. 해당 보안 키를 PGP 클라이언트에 가져온 후 보고서를 암호화하여 [email protected]에 전송하세요. 암호화 없는 제출서도 수락됩니다. PGP 공개 키를 가져오는 방법(선택적/추가 보안):

• https://www.kraken.com/.well-known/security.txt에서 보안 링크를 사용하여 공개 키 블록을 다운로드 또는 복사합니다(https://www.kraken.com/.well-known/pgp-key.txt 파일을 다운로드 하거나 -----BEGIN PGP PUBLIC KEY BLOCK-----으로 시작하는 텍스트를 복사하세요)
• PGP 또는 GPG 클라이언트를 엽니다(예: 명령어 줄에 GnuPG, Thunderbird의 OpenPGP Key Manager 또는 GNOME Seahorse/"Passwords & Keys").
• 클라이언트의 "키 가져오기" 기능을 사용하여 키를 귀하의 키링에 추가합니다.
• (선택 사항) 진위성을 보장하기 위해 키의 지문으로 당사에 인증합니다.

• 지난 해 보상 26개 보고서
• 지난 해 제출 434개 보고서
• 지난 해 지급 평균 $3962 

Kraken 보안 취약점 신고 프로그램을 통해 이전에 보상을 받은 연구원을 아래에서 확인하세요.

최고 심각도

최고 심각도 문제는 광범위한 Kraken 사용자 또는 Kraken 자체에 직접적이고 즉각적인 리스크를 나타내는 문제에 해당합니다. 이런 문제는 Kraken 애플리케이션 스택 또는 인프라 중 하나에 상대적으로 낮은 수준 및 기본적인 구성 요소에 영향을 미치는 경우가 많습니다. 예를 들어:

• Kraken 프로덕션 네트워크 서버에 대한 대체 코드/명령 실행.
• 프로덕션 데이터베이스에 대한 대체 쿼리.
• 로그인 프로세스(비밀번호 또는 2FA)의 우회.
• 민감한 프로덕션 사용자 데이터에 액세스 또는 내부 프로덕션 시스템에 액세스.

 

고가

높은 심각도 문제는 액세스가 인증되지 않은 매우 민감한 데이터를 공격자가 읽거나 수정할 수 있는 상황을 의미합니다. 이러한 문제는 공격자에게 광범위한 액세스를 허용함에도 불구하고 매우 심각한 문제 보다 일반적으로 범위가 좁습니다. 예를 들어:

• CSP를 우회하는 XSS
• 공개적으로 노출된 출처에서 민감한 사용자 데이터를 발견함
• 최종 사용자 계정이 액세스하면 안되는 보통의 시스템에 액세스 확보

 

중간

중간 심각도 문제는 액세스가 인증되지 않은 제한적 양의 데이터를 공격자가 읽거나 수정할 수 있는 상황을 의미합니다. 일반적으로 높은 심각도 문제 보다 민감도가 낮은 정보에 액세스하는 경우입니다. 예를 들어:

• 사용자가 액세스하지 않아야 하는 프로덕션 시스템에서 민감도가 낮은 정보를 공개
• CSP를 우회하지 않거나 다른 사용자 세션에서 민감한 작업을 하지 않는 XSS
• 리스크가 낮은 작업에 대한 CSRF

 

저가

낮은 심각도 문제는 공격자가 매우 제한적인 양의 데이터에 액세스할 수 있는 상황을 의미합니다. 이 경우 원래 설계된 의도대로 동작하지는 않지만, 공격자가 돌발 행동을 할 수 있거나 권한의 에스컬렌이션이 일어나지는 않습니다. 예를 들어:

• 취약점 악용 증명 없이 또는 민감한 정보의 입수 없이 버보스 페이지(진행 메시지 표시 페이지) 또는 오류 정정 페이지가 표시됨.

 

부적격

당사의 관심 대상이 아니거나 보상에 부적격한 보고서는 다음과 같습니다.

• 기본 웹사이트의 취약성으로 이어지지 않는 제3자가 호스트하는 사이트(support.kraken.com 등)의 취약성. Kraken 블로그의 취약성 및 오류(blog.kraken.com).
• 물리적 공격, 소셜 엔지니어링, 스팸, DDOS 공격에 따른 취약성.
• 오래되거나 패치되지 않은 브라우저에 영향을 미치는 취약성.
• Kraken API를 활용하는 제3자 애플리케이션의 취약성.
• 문제를 공개한 후 30일 이내에 Kraken 상품, 서비스 또는 인프라에 사용된 제3자 라이브러리 또는 기술에서 공개된 취약성.
• Kraken이 종합적으로 수정한 버전을 발행하기 전 공개적으로 알려진 취약성.
• 당사에 알려졌거나 다른 누군가에 의해 이미 보고된 취약성(보상은 첫 보고자에게 수여됨).
• 재생성 가능하지 않은 문제.
• 불가능한 사용자 상호 작용이 필요한 취약성.
• 모바일의 루트/탈옥이 필요한 취약성.
• 취약성 악용 증명 없이 보안 헤더 누락.
• TLS Cipher 패키지 제공됨.
• 모범 사례에 대한 제안.
• 소프트웨어 버전 공개.
• 상세한 단계별 지침 및 악용 개념 증명이 첨부되지 않은 모든 보고서.
• Kraken이 이러한 표준을 준수하기 위해 구현해야 하는 기술 사양의 문제와 같이 당사가 합리적으로 행할 수 없는 문제.
• 자동화 도구/스캐너의 출력 또는 AI 생성 보고서.
• 어떠한 보안 영향도 없는 문제.

 

보안 문제가 아닌 문제

보안 이외의 문제는 https://support.kraken.com을 통해 알려주세요.