• Kraken menggalakkan pendedahan kerentanan keselamatan secara bertanggungjawab menerusi program Ganjaran Pepijat kami.
• Penyelidik mesti mematuhi dasar bertulis. Dasar ini tidak boleh dirundingkan.
• Peraturan utama:
  • Bertindak dengan suci hati dan elakkan pelanggaran dasar.
  • Jangan lakukan lebih daripada yang diperlukan untuk membuktikan kerentanan. 
  • Jangan buat ugutan atau tuntutan tebusan.
  • Laporkan kerentanan, termasuk arahan dan bukti eksploitasi konsep, sebaik sahaja ia ditemui dan disahkan.
• Penyelidik bertanggungjawab untuk mematuhi semua undang-undang yang berkenaan.
• Percubaan untuk mensubversikan atau melanggar dasar kami akan menyebabkan kelayakan untuk menyertai program ini dilucutkan dengan serta-merta. Ancaman atau cubaan pemerasan boleh dirujuk kepada pihak penguatkuasa undang-undang.
• Jika anda tidak pasti mengenai sesuatu, maklumkan kepada [email protected] untuk mendapatkan penjelasan.

Kraken berpegang teguh pada nilai yang dibawa oleh ahli profesional keselamatan dan pembangun untuk memastikan produk dan pengguna kami sentiasa selamat. Kraken telah mewujudkan dan menggalakkan pendedahan kerentanan selaras (CVD) melalui Program Ganjaran Pepijat kami. Program Ganjaran Pepijat menyokong misi Kraken dengan membantu Kraken melindungi pelanggan dalam pasaran mata wang digital.

Dengan mencari pepijat dalam sistem Kraken, anda bersetuju untuk memastikan semua data, maklumat mengenai kerentanan, penyelidikan anda dan komunikasi dengan Kraken kekal sulit sepenuhnya sehingga Kraken menyelesaikan isu tersebut dan memberikan kebenaran untuk membuat pendedahan. 

Apabila syarat-syarat Dasar ini dipatuhi, Kraken bersetuju untuk tidak mengambil tindakan undang-undang terhadap penyelidikan keselamatan yang dijalankan mengikut semua dasar Ganjaran Pepijat Kraken yang disiarkan, termasuk pelanggaran tidak disengajakan yang dilakukan dengan suci hati. 

Sila elakkan pelanggaran privasi yang disengajakan dengan mencipta akaun ujian sekiranya boleh. Jika anda menemukan maklumat peribadi yang boleh dikenal pasti (PII) atau data sensitif lain bagi akaun yang anda tidak mempunyai kebenaran bertulis yang jelas daripada pemilik akaun untuk digunakan bagi mengesahkan penemuan anda, sila hentikan akses kepada data tersebut dengan serta-merta dan laporkan isu itu kepada Kraken dengan memberikan penerangan tentang PII atau data sensitif lain, bukannya data itu sendiri.

Selaras dengan peraturan perlindungan data dan dasar privasi kami, anda mesti:

• Tidak menyimpan atau memindahkan PII klien lain. Jika anda menemukan mana-mana PII tanpa sengaja, laporkan penemuan tersebut kepada Kraken dengan serta-merta dan hapuskan semua salinan PII bukan milik anda. 
• Meminimumkan pengumpulan data dan akses semasa penyelidikan anda. Hanya kumpul dan simpan maklumat yang benar-benar diperlukan untuk menunjukkan dan melaporkan kerentanan. 
• Padamkan semua data yang dikumpul dengan segera dan selamat selepas laporan dihantar dan Kraken telah mengesahkan bahawa mereka telah menerima laporan tersebut.
• Tidak mendedahkan mana-mana kerentanan atau maklumat yang berkaitan kepada pihak ketiga tanpa persetujuan bertulis yang jelas daripada Kraken. Hal ini termasuk tetapi tidak terhad kepada media sosial, syarikat lain atau akhbar.
• Jika anda sedang melaporkan pelanggaran data atau lokasi repositori data dan bukannya kerentanan keselamatan, sila berikan lokasi data tersebut dan jangan mengaksesnya lagi, malah jangan berkongsi lokasi data itu dengan orang lain.

Penyerahan ganjaran pepijat tidak boleh sesekali mengandungi ancaman atau mana-mana cubaan pemerasan. Kami terbuka untuk membayar ganjaran bagi penemuan yang sah, namun tuntutan tebusan tidak memenuhi kelayakan pembayaran. Sebagai contoh, tidak mendedahkan maklumat mengenai kerentanan atau menghalang keupayaan untuk menyelesaikan kerentanan sehingga tuntutan lain dipenuhi akan dianggap sebagai tuntutan tebusan. Kami mungkin diwajibkan oleh undang-undang atau memutuskan secara sukarela untuk membuat laporan kepada pihak berkuasa mengenai apa-apa penyerahan Ganjaran Pepijat yang mengandungi tuntutan tebusan. 

Kami percaya bahawa aktiviti yang dijalankan selaras dengan dasar ini dianggap sebagai tatatertib “dibenarkan” di bawah Akta Penipuan dan Penyalahgunaan Komputer (CFAA), Akta Hak Cipta Milenium Digital (DMCA) dan undang-undang antipenggodaman yang berkenaan seperti di Kanun Keseksaan 503(c) Cal. Kami tidak akan mendakwa penyelidik kerana memintasi langkah keselamatan teknologi yang kami gunakan untuk melindungi aplikasi yang turut disertakan dalam skop Program Ganjaran Pepijat. Walau bagaimanapun, mematuhi dasar ini tidak bermakna bahawa Kraken atau mana-mana organisasi atau kerajaan lain boleh melindungi penyelidik daripada undang-undang antarabangsa. Penyelidik keselamatan individu bertanggungjawab untuk memahami dan mematuhi semua undang-undang tempatan dan antarabangsa yang berkenaan dan berkaitan dengan antipenggodaman, data dan privasi, serta kawalan eksport. Jika pihak ketiga mengambil tindakan undang-undang terhadap anda tetapi anda telah mematuhi terma-terma dalam dasar ini, Kraken akan memaklumkan kepada agensi penguatkuasa undang-undang yang berkenaan atau plaintif sivil bahawa aktiviti penyelidikan anda, setakat pengetahuan kami, dijalankan selaras serta mematuhi terma dan syarat program ini.

Setiap penyelidik dikehendaki menghantar pemberitahuan kepada kami sebelum melakukan tatatertib yang mungkin tidak selaras dengan atau tidak ditetapkan oleh dasar ini. Kami mengalu-alukan cadangan untuk penjelasan dasar yang boleh membantu penyelidik menjalankan kajian mereka dan membuat laporan dengan penuh yakin.

Semua penyerahan ganjaran akan dinilai oleh Kraken dan dibayar berdasarkan penarafan kerentanan. Semua pembayaran akan diteruskan dalam BTC ke Akaun Kraken anda yang sah dan akan ditakrifkan sebagai garis panduan dan tertakluk pada perubahan.

• Semua laporan pepijat mesti diserahkan ke [email protected], satu-satunya hubungan rasmi untuk program ini. Jangan gunakan laman web luaran untuk menghantar butiran kerentanan. Mana-mana laman web atau portal luaran adalah tidak rasmi dan tidak diluluskan oleh Kraken.
• Untuk menerima bayaran ganjaran pepijat, anda mesti:
  • Mendaftar pada tahap Pertengahan. Lihat: Cipta Akaun- https://www.kraken.com/sign-up
  • Memiliki akaun AKTIF
  • Menyediakan dokumen untuk pengesahan. Lihat juga: https://support.kraken.com/hc/en-us/articles/360000672203-Document-requirements-for-verification
• Meminta bayaran atau pengakuan lain sebagai pertukaran untuk butiran kerentanan akan menyebabkan kelayakan pembayaran ganjaran dilucutkan dengan segera. Tidak mendedahkan butiran kerentanan juga akan menyebabkan kelayakan pembayaran ganjaran dilucutkan dengan segera.
• Sediakan arahan terperinci untuk menghasilkan semula kerentanan dan Bukti Konsep. 
• Jika kami tidak dapat menghasilkan semula penemuan anda, maka laporan anda tidak memenuhi kelayakan untuk pembayaran. Hanya eksploitasikan butiran yang diperlukan untuk membuktikan kerentanan dan pulangkan mana-mana aset yang telah diekstrak dengan segera.
• Dilarang mendedahkan kerentanan kepada individu yang lain.
• Apa-apa percubaan untuk memintas prosedur yang digariskan dalam dasar ini akan menyebabkan kelayakan pembayaran ganjaran dilucutkan dengan segera. 
• Termasuk Alamat Pengebilan Bitcoin (BTC) anda. Semua ganjaran akan dibayar dalam mata wang Bitcoin.
• Bayaran minimum telah ditakrifkan di bawah. Semua bayaran boleh diubah mengikut budi bicara Kraken.
• Pembayaran minimum adalah jumlah Bitcoin (BTC) yang bersamaan dengan $500 USD.

Sila ambil langkah-langkah yang berikut untuk memproses penyerahan Ganjaran Pepijat:

1. Laporan diserahkan ke peti mel ganjaran pepijat

2. Keselamatan Kraken mengesahkan penerimaan penyerahan (SLA 1 Hari Perniagaan)

3. Keselamatan Kraken menapis penyerahan tersebut (SLA 10 Hari Perniagaan)

4. Keselamatan Kraken menghantar maklum balas dengan penentuan; jika isu yang dilaporkan dianggap sebagai kerentanan, maka pemberitahuan merangkumi tahap keterukan dan jumlah ganjaran (kami akan meminta alamat BTC)

5. Untuk kerentanan keselamatan, Kraken akan menghantar ganjaran tersebut (SLA 14 Hari Perniagaan)

Jika anda ingin menyulitkan penyerahan ganjaran pepijat anda untuk meningkatkan tahap keselamatan, anda boleh menggunakan kunci awam PGP kami. Import kunci tersebut ke dalam klien PGP anda, sulitkan laporan anda, kemudian hantar laporan tersebut ke [email protected]. Penyerahan tanpa penyulitan juga diterima. Cara untuk mengimport kunci awam PGP kami (pilihan / keselamatan tambahan):

• Muat turun atau salin blok kunci awam menggunakan pautan Penyulitan di https://www.kraken.com/.well-known/security.txt (muat turun failhttps://www.kraken.com/.well-known/pgp-key.txt atau terus salin permulaan teks dengan -----MULAKAN BLOK KUNCI AWAM PGP-----)
• Buka klien PGP atau GPG anda (cth. GnuPG pada baris perintah, Pengurus Kunci OpenPGP Thunderbird atau GNOME Seahorse / "Kata Laluan & Kunci").
• Gunakan ciri "Import kunci" klien untuk menambah kunci kepada gelang kunci anda.
• (Pilihan) Sahkan cap jari kunci dengan kami bagi menjamin ketulenan.

• 26 laporan telah diberi ganjaran pada tahun lepas
• 434 laporan telah dihantar pada tahun lepas
• Purata pembayaran sebanyak$3962 dibuat pada tahun lepas

Lihat para penyelidik di bawah yang telah diberi ganjaran sebelum ini menerusi program Ganjaran Pepijat Kraken.

Kritikal

Isu keterukan kritikal menimbulkan risiko langsung dan segera terhadap pelbagai pengguna kami atau terhadap Kraken sendiri. Isu ini sering menjejaskan komponen tahap rendah / asas dalam salah satu tindanan aplikasi atau infrastruktur kami. Sebagai contoh:

• pelaksanaan kod/arahan sembarangan pada pelayan dalam rangkaian produksi kami.
• pertanyaan sembarangan pada pangkalan data penghasilan.
• memintas proses log masuk kami, sama ada kata laluan atau 2FA.
• mengakses data pengguna penghasilan sensitif atau mengakses sistem penghasilan dalaman.

Tinggi

Isu keterukan tinggi membenarkan penyerang membaca atau mengubah suai data amat sensitif yang mereka tidak mempunyai kebenaran untuk mengakses. Secara umumnya, isu ini mempunyai skop yang lebih terhad berbanding dengan isu kritikal, walaupun ia masih menawarkan akses yang luas kepada penyerang. Sebagai contoh:

• XSS yang memintas CSP
• Menerokai data pengguna sensitif dalam sumber terdedah kepada awam
• Mendapatkan akses kepada sistem bukan kritikal yang tidak sepatutnya boleh diakses oleh akaun pengguna akhir

Sederhana

Isu keterukan sederhana membolehkan penyerang membaca atau mengubah suai jumlah data terhad yang mereka tidak mempunyai kebenaran untuk mengakses. Secara umumnya, isu ini memberikan akses kepada maklumat yang kurang sensitif berbanding dengan isu keterukan tinggi. Sebagai contoh:

• Mendedahkan maklumat tidak sensitif daripada sistem penghasilan yang tidak sepatutnya diakses oleh pengguna
• XSS yang tidak memintas CSP atau tidak melakukan tindakan sensitif dalam sesi pengguna yang lain
• CSRF untuk tindakan berisiko rendah

Rendah

Isu keterukan rendah membolehkan penyerang mengakses jumlah data yang amat terhad. Mereka mungkin melanggar jangkaan tentang cara sesuatu sepatutnya berfungsi, tetapi ia seakan-akan tidak membenarkan apa-apa peningkatan hak istimewa atau keupayaan untuk mencetuskan tingkah laku yang tidak diingini oleh penyerang. Sebagai contoh:

• Mencetuskan halaman ralat berjela-jela atau nyahpepijat tanpa bukti boleh dieksploitasi atau tanpa memperoleh maklumat sensitif.

Ketidaklayakan

Laporan yang kami tidak berminat atau tidak memenuhi kelayakan ganjaran termasuk:

• Kerentanan laman web yang dihoskan oleh pihak ketiga (support.kraken.com, dsb) melainkan ia menyebabkan kerentanan di laman web utama. Kerentanan dan pepijat pada blog Kraken (blog.kraken.com).
• Kerentanan luar jangka mengenai serangan fizikal, kejuruteraan sosial, penspaman, serangan DDOS dsb.
• Kerentanan yang mempengaruhi pelayar yang sudah tidak digunakan atau tidak ditampal.
• Kerentanan aplikasi pihak ketiga yang menggunakan API Kraken.
• Kerentanan yang didedahkan secara awam dalam perpustakaan atau teknologi pihak ketiga yang digunakan dalam produk, perkhidmatan atau infrastruktur Kraken yang kurang dari 30 hari selepas pendedahan awam isu tersebut.
• Kerentanan yang telah didedahkan secara awam sebelum Kraken melakukan pembaikan komprehensif.
• Kerentanan yang telah diketahui oleh kami atau telah dilaporkan oleh orang lain (ganjaran akan diberikan kepada pelapor pertama).
• Isu yang tidak dapat dihasilkan semula.
• Kerentanan yang memerlukan tahap interaksi pengguna yang mustahil akan berlaku.
• Kerentanan yang memerlukan akar/pecah sekat pada peranti mudah alih.
• Tidak mempunyai pengepala keselamatan dan bukti keboleheksploitan.
• Set Sifer TLS ditawarkan.
• Cadangan mengenai amalan terbaik.
• Pendedahan versi perisian.
• Mana-mana laporan yang dibuat tanpa arahan langkah demi langkah yang terperinci dan bukti konsep eksploitasi sebagai lampiran.
• Isu yang tidak wajar untuk kami lakukan apa-apa dalam jangkaan, seperti isu dalam spesifikasi teknikal yang mesti dilaksanakan oleh Kraken untuk mematuhi piawaian tersebut.
• Output daripada alat/pengimbas automatik atau laporan yang dijana oleh AI.
• Isu tanpa apa-apa impak keselamatan.

Isu bukan keselamatan

Anda boleh memaklumkan kepada kami tentang isu bukan keselamatan di https://support.kraken.com.