• Kraken oppmuntrer til ansvarlig formidling av sikkerhetssårbarheter gjennom programmet Programfeil-dusør.
• Undersøkere må følge de skriftlige retningslinjene. Man kan ikke forhandle om innholdet i disse retningslinjene.
• Viktige regler:
  • Du må opptre i god tro og unngå å bryte retningslinjene.
  • Ikke gjør mer enn det som trengs for å bevise en sårbarhet. 
  • Ikke legg frem trusler eller krav om løsepenger.
  • Rapporter sårbarheter inkludert instruksjoner og en PoC-utnyttelse (konseptbevis) så snart de oppdages og valideres.
• Undersøkere er ansvarlig for å overholde alle gjeldende lover.
• Forsøk på å undergrave eller bryte retningslinjene våre vil føre til at du umiddelbart mister kvalifiseringen din for dette programmet. Trusler eller forsøk på utpressing kan bli meldt til politiet.
• Hvis det er noe du er usikker på, kan du varsle [email protected] for å få hjelp.

Kraken tror sterkt på verdien av sikkerhetseksperter og utviklere som bidrar til å holde produktene og brukerne våre trygge. Kraken har etablert og oppmuntrer til koordinert formidling av sårbarheter (coordinated vulnerability disclosure, CVD) via programmet Programfeil-dusør. Programmet Programfeil-dusør følger Krakens formål ved å beskytte kunder i det digitale valutamarkedet.

Når du ser etter programfeil i Krakens systemer, samtykker du til å holde alle data, opplysninger om sårbarheter, undersøkelsen din og kommunikasjon med Kraken strengt konfidensielle frem til Kraken har håndtert problemet og gitt tillatelse til at de formidles. 

Så lenge kravene til disse retningslinjene overholdes, samtykker Kraken i å ikke ta juridiske skritt mot sikkerhetsundersøkelser som er gjort basert på alle publiserte Kraken-retningslinjer i forbindelse med Programfeil-dusør, inkludert i utilsiktede brudd som er forekommet i god tro. 

Unngå tilsiktede krenkelser av personvernet ved å opprette testkontoer når det er mulig. Hvis du støter på personlig identifiserbar informasjon (PII) eller andre sensitive opplysninger for kontoer du ikke har uttrykkelig skriftlig samtykke fra kontoinnehaveren til å bruke for å validere funnene dine, må du straks la være å se, på hente ut eller bruke opplysningene/dataene og rapportere saken til Kraken på en slik måte at du bare gir en beskrivelse (omtale) av PII-dataene eller de andre sensitive opplysningene, uten at du gjengir selve dataene.

I henhold til personvernlovgivningen og retningslinjene våre for personvern må du overholde følgende regler:

• Ikke lagre eller overføre andre kunders personlig identifiserbar informasjon (PII). Hvis du får tak i en kundes PII, må du rapportere det til Kraken umiddelbart og så destruere alle kopier av PII som ikke tilhører deg. 
• Minimer datainnsamling og tilgang under undesøkelsene dine. Du må bare samle inn og oppbevare informasjon som er absolutt nødvendig for å demonstrere og rapportere sårbarheten. 
• Slett umiddelbart og på en sikker måte alle innsamlede data når rapporten er sendt inn og Kraken har bekreftet mottak.
• Du skal ikke formidle sårbarheter eller tilknyttet informasjon til tredjeparter uten uttrykkelig skriftlig samtykke fra Kraken. Dette omfatter, men er ikke begrenset til sosiale medier, andre selskaper eller pressen.
• Hvis du rapporterer brudd på data- eller opplysningssikkerheten eller plasseringen av et datalager i stedet for en sikkerhetssårbarhet, skal du bare oppgi plasseringen av dataene, ikke gå tilbake til plasseringen. Du må heller ikke dele plasseringen av dataene med andre.

En innsendelse i forbindelse med Programfeil-dusør kan ikke inneholde trusler eller forsøk på utpressing. Vi er åpne for å betale dusører for legitime funn, men krav om løsepenger anses ikke som kvalifisert til noen utbetaling. Å ikke frigi informasjon om sårbarheten eller på annen måte forhindre muligheten til å løse sårbarheten frem til andre krav er møtt, vil anses som et krav om løsepenger. Vi kan være bundet av lov eller velge å rapportere eventuelle Programfeil-dusør-innsendinger til myndighetene som inneholder krav om løsepenger. 

Vi mener at aktiviteter utført i tråd med disse retningslinjene utgjør «autorisert» atferd i henhold til lovene Computer Fraud and Abuse Act (CFAA), Digital Millennium Copyright Act (DMCA) og gjeldende antihacking-lover som California Penal Code 503(c). Vi kommer ikke til å rette noen krav mot undersøkere som omgår de tekniske tiltakene vi har brukt til å beskytte applikasjonene i omfang av Programfeil-dusør-programmet. Det at du følger disse retningslinjene betyr ikke at Kraken eller andre organisasjoner eller myndigheter kan gi deg immunitet mot global lovgivning. Det er ansvaret til individuelle sikkerhetsundersøkere å forstå og overholde alle gjeldende og lokale lover vedrørende antihacking, data og personvern og eksportkontroller. Hvis en tredjepart fremmer søksmål mot deg selv om du har fulgt vilkårene i disse retningslinjene, vil Kraken informere relevante rettshåndhevende myndigheter eller den saksøkende part om at undersøkelsesaktivitetene dine, så vidt vi vet, er utført i tråd med og i henhold til vilkårene for dette programmet.

Det er et krav at hver undersøker sender inn et varsel til oss før vedkommende gjør noe som kan stride imot eller som ikke er omfattet av disse retningslinjene. Vi tar imot anbefalinger for å forklare retningslinjene på en måte som hjelper undersøkerne til å utføre undersøkelsen sin og rapportere med trygghet.

Alle dusør-innsendinger er vurdert av Kraken og utbetales basert på en sårbarhetsvurdering. Alle utbetalinger utføres i BTC til din verifiserte Kraken-konto og er definert som en retningslinje som kan endres.

• Alle programfeilrapporter må sendes inn til [email protected], som er den eneste offisielle kontaktkanalen for dette programmet. Ikke bruk eksterne nettsteder til å sende inn sårbarhetsdetaljer. Alle eksterne nettsteder eller portaler er uoffisielle og er ikke godkjent av Kraken.
• For å motta betalinger fra Programfeil-dusør må du
  • registrer deg på Intermediate-nivå. Se: Opprett en konto – https://www.kraken.com/sign-up
  • Ha en AKTIV konto
  • Oppgi dokumentasjon for å verifisere. Du kan også se: https://support.kraken.com/hc/en-us/articles/360000672203-Document-requirements-for-verification
• Det å be om betaling eller en annen godtgjørelse i bytte mot sårbarhetsdetaljer vil umiddelbart før til en diskvalifisering av dusørutbetalinger. Også det å ikke utlevere sårbarhetsdetaljer fører også umiddelbart til diskvalifisering av dusørbetalinger.
• Oppgi detaljerte instruksjoner for hvordan man gjenskaper sårbarheten samt et konseptbevis (PoC). 
• Hvis ikke vi kan gjenskape funnene dine, vil ikke rapporten være kvalifisert for utbetaling. Du må kun utnytte det som er nødvendig for å bevise en sårbarhet, og raskt returnere eventuelle ressurser som er blitt hentet ut.
• Det er forbudt å formidle sårbarheter til andre enkeltpersoner.
• Alle forsøk på å omgå prosedyrene som er beskrevet i disse retningslinjene, vil umiddelbart føre til en diskvalifisering av dusørbetalinger. 
• Inkluder Bitcoin-adressen (BTC) for betaling. Alle belønninger blir gitt i bitcoins.
• Minimum betalingsbeløp står nedenfor. Alle betalinger kan bli modifisert etter Krakens egen skjønn.
• Minimum utbetaling i bitcoins (BTC) tilsvarer USD 500.

Følgende trinn er i iverksatt for å behandle Programfeil-dusør-innsendinger:

1. En rapport sendes til innboksen for Programfeil-dusører.

2. Krakens sikkerhetsavdeling bekrefter innsendingen (SLA – 1 virkedag).

3. Krakens sikkerhetsavdeling behandler innsendingene basert på en prioritering (SLA – 10 virkedager).

4. Krakens sikkerhetsavdeling vil informere om avgjørelsen. Hvis resultatet anses som en sårbarhet, inneholder varselet sikkerhetsnivå og beløpet for belønningen (vi vil be om en BTC-adresse).

5. Kraken sender belønningen for sikkerhetssårbarheten (SLA – 14 virkedager).

Hvis du ønsker å kryptere Programfeil-dusør-innsendingen for ekstra sikkerhet, kan du bruke den offentlige PGP-nøkkelen vår. Importer nøkkelen direkte inn i PGP-klienten, krypter rapporten og send den til [email protected]. Innsendinger uten kryptering godtas også. Slik importerer du vår offentlige PGP-nøkkel (valgfritt / ekstra sikkerhet):

• Last ned eller kopier den offentlige nøkkelblokken via Kryptering-lenken på https://www.kraken.com/.well-known/security.txt (last ned https://www.kraken.com/.well-known/pgp-key.txt-filen eller bare kopier teksten som begynner med -----BEGIN PGP PUBLIC KEY BLOCK-----)
• Åpne PGP- eller GPG-klienten din (f.eks. GnuPG på kommandolinjen, Thunderbirds OpenPGP Key Manager eller GNOME Seahorse / "Passwords & Keys").
• Bruk klientens funksjon for import av nøkkel for å legge til nøkkelen på nøkkelringen din.
• (valgfritt) Verifiser nøkkelens fingeravtrykk med oss for å sikre at den er autentisk.

• 26 rapporter belønnet det siste året
• 434 rapporter sendt inn det siste året
• USD 3962 utbetalt i gjennomsnitt det siste året

Nedenfor ser du noen av undersøkerne som tidligere har blitt belønnet gjennom Krakens Programfeil-dusør-programmet.

Kritisk

Problemer med kritisk alvorlighetsgrad utgjør en direkte og umiddelbar risiko for et bredt utvalg av brukerne våre eller direkte for Kraken. De påvirker ofte relativt lavnivås/grunnleggende komponenter i én av applikasjonsstakkene eller infrastrukturen. Eksempel:

• tilfeldig kode-/kommandokjøring på en server i produksjonsnettverket vårt
• tilfeldige spørringer i en produksjonsdatabase
• omgåelse av påloggingsprosessen vår, enten passord eller tofaktorgodkjenning
• tilgang til sensitive produksjonsbrukerdata eller tilgang til interne produksjonssystemer

Høy

Problemer med høy alvorlighetsgrad gjør at en angriper kan lese av eller modifisere meget sensitive data som de ikke er autorisert for. De er generelt mer snevre i omfang enn kritiske problemer, selv om de fortsatt kan gi en angriper omfattende tilgang. Eksempel:

• XSS som omgår CSP
• Oppdage sensitive brukerdata i en offentlig eksponert ressurs
• Få tilgang til et ikke-kritisk system som en sluttbrukerkonto ikke skal ha tilgang til

Middels

Problemer med middels alvorlighetsgrad gjør at en angriper kan lese av eller modifisere begrensede data som vedkommende ikke har godkjent tilgang til. De gir generelt tilgang til mindre sensitive opplysninger enn opplysninger med høy alvorlighetsgrad. Eksempel:

• Formidling av ikke-sensitiv informasjon fra et produksjonssystem som brukeren ikke skal ha tilgang til
• XSS som ikke omgår CSP eller ikke utfører sensitive handlinger i økten til en annen bruker
• CSRF for handlinger med lav risiko

Lav

Problemer med lav alvorlighetsgrad gjør at en angriper får tilgang til meget begrensede data. De kan bryte forventninger om hvordan noe skal virke, men de kan ikke i stor grad eskalere tilgangsrettigheter eller muligheten til å utløse utilsiktet adferd hos en angriper. Eksempel:

• Å utløse ordrike feilsider eller feilsøkingssider uten bevis på at feilene kan utnyttes, og uten å innhente sensitive opplysninger.

Ikke kvalifisert

Rapporter som vi ikke har interesse av, og som ikke kvalifiserer til belønning, inkluderer følgende:

• Sårbarheter på nettsteder hos tredjeparter (support.kraken.com osv.) med mindre de fører til en sårbarhet på hovednettstedet. Sårbarheter og programfeil på Kraken-bloggen (blog.kraken.com).
• Sårbarheter som er avhengige av fysiske angrep, sosial manipulering, spam, DDOS-angrep osv.
• Sårbarheter som påvirker utdaterte eller ikke oppdaterte nettlesere.
• Sårbarheter i tredjeparts applikasjoner som bruker Krakens API.
• Sårbarheter formidlet gjennom tredjeparters biblioteker eller teknologi brukt i Krakens produkter, tjenester eller infrastruktur tidligere enn 30 dager etter at problemet er formidlet.
• Sårbarheter som er publisert offentlig før Kraken implementerer en dekkende løsning.
• Sårbarheter som vi allerede vet om, eller som allerede er rapportert av noen andre (belønningen går til den første som rapporterer).
• Problemer som ikke kan gjenskapes.
• Sårbarheter som krever et usannsynlig nivå av brukersamhandling.
• Sårbarheter som krever rottilgang/jailbreaking på mobilen.
• Mangel på sikkerhetsheader uten bevis på at det kan utnyttes.
• TLS-krypteringssuiter som tilbys.
• Forslag om anbefalte fremgangsmåter.
• Formidling av programvareversjon.
• Alle rapporter uten detaljerte trinnvise instruksjoner og medfølgende PoC-utnyttelse (konseptbevis).
• Problemer som vi ikke innenfor rimelighetens grenser kan forventes å gjøre noe med, slik som problemer med tekniske spesifikasjoner som Kraken må implementere for å overholde standarder.
• Utdata fra automatisere verktøy/skannere eller KI-genererte rapporter.
• Problemer uten innvirkning på sikkerheten.

Problemer ikke knyttet til sikkerheten

Du kan informere oss om problemer ikke knyttet til sikkerhet på https://support.kraken.com.