• A Kraken incentiva a divulgação responsável de vulnerabilidades de segurança através do nosso programa Recompensas por erros.
• Os investigadores têm de seguir a política escrita. Esta política é inegociável.
• Principais regras:
  • Agir em boa fé e evitar violações das políticas.
  • Não fazer mais do que o necessário para provar uma vulnerabilidade. 
  • Não fazer ameaças nem pedir resgates.
  • Elaborar relatórios sobre as vulnerabilidades, incluindo instruções e prova de conceito de exploração, assim que forem detetadas e validadas.
• Os investigadores são responsáveis por cumprir todas as leis aplicáveis.
• Tentativas de subverter ou violar a nossa política resultarão na inelegibilidade imediata para este programa. As ameaças ou tentativas de extorsão podem ser encaminhadas às autoridades policiais.
• Em caso de dúvidas, notificar a [email protected] para obter esclarecimentos.

A Kraken acredita firmemente no valor dos profissionais de segurança e desenvolvedores que ajudam a manter os nossos produtos e utilizadores em segurança. A Kraken estabeleceu e incentiva a divulgação coordenada de vulnerabilidades (CVD) através do nosso Programa Recompensas por erros. O programa Recompensas por erros atende à missão da Kraken ao ajudar a proteger os clientes no mercado das moedas digitais.

Ao procurar erros nos sistemas da Kraken, concorda em manter todos os dados, informações sobre vulnerabilidades, a sua pesquisa e comunicações com a Kraken estritamente confidenciais até que a Kraken resolva o problema e conceda permissão para a divulgação. 

Quando os requisitos desta Política forem cumpridos, a Kraken concorda em não iniciar uma ação legal por pesquisas de segurança realizadas de acordo com todas as políticas publicadas no âmbito do programa Recompensas por erros da Kraken, incluindo violações acidentais de boa fé. 

Evite violações deliberadas de privacidade criando contas de teste sempre que possível. Se encontrar informações de identificação pessoal ("PII") ou outros dados confidenciais relativos a contas para as quais não tem consentimento expresso por escrito do proprietário da conta para validar as suas descobertas, pare de aceder a esses dados imediatamente e comunique o problema à Kraken com uma descrição dos dados confidenciais, não com os dados em si.

De acordo com as normas de proteção de dados e as nossas políticas de privacidade, deve:

• Não armazenar ou transmitir PII de outros clientes. Se capturar qualquer PII de um cliente, comunique imediatamente à Kraken e destrua todas as cópias de PII que não sejam suas. 
• Minimizar a recolha e o acesso aos dados durante a sua pesquisa. Recolher e reter apenas as informações absolutamente necessárias para demonstrar e comunicar a vulnerabilidade. 
• Eliminar imediatamente e de forma segura todos os dados recolhidos após o envio do relatório e respetiva confirmação de receção por parte da Kraken.
• Não divulgar quaisquer vulnerabilidade ou informações associadas a terceiros sem o consentimento expresso por escrito da Kraken. Isto inclui, sem limitação, nas redes sociais, a outras empresas ou à imprensa.
• Se estiver a comunicar uma violação de dados ou o local de um repositório de dados em vez de uma vulnerabilidade de segurança, deve fornecer a localização dos dados e não aceder mais aos mesmos, nem partilhar a localização dos dados com outras pessoas.

O envio do relatório sobre uma vulnerabilidade nunca pode conter ameaças ou qualquer tentativa de extorsão. Estamos dispostos a pagar recompensas por descobertas legítimas, mas os pedidos de resgate não são elegíveis para pagamento. Por exemplo, não divulgar informações sobre a vulnerabilidade ou impedir de alguma forma a capacidade de a resolver até que outras exigências sejam atendidas será considerado um pedido de resgate. Podemos ser obrigados por lei ou decidir voluntariamente denunciar às autoridades qualquer envio de um relatório sobre uma vulnerabilidade que contenha pedidos de resgate. 

Acreditamos que as atividades realizadas em conformidade com esta política constituem uma conduta "autorizada" nos termos da Lei de Fraude e Abuso Informático (CFAA), da Lei de Direitos Autorais do Milénio Digital (DMCA) e das leis aplicáveis contra hackers, tais como o Código Penal da Califórnia, secção 503(c). Não apresentaremos reivindicações contra investigadores por contornarem as medidas tecnológicas que utilizamos para proteger as aplicações no âmbito do Programa Recompensas por erros. No entanto, seguir esta política não significa que a Kraken, nem qualquer outra organização individual ou governo, pode conceder imunidade às leis globais. É responsabilidade de cada investigador de segurança compreender e cumprir todas as leis locais e internacionais aplicáveis relativas a controlos de combate a hackers, de dados e privacidade e de exportação. Se um terceiro mover uma ação legal contra si, mesmo estando a cumprir os termos desta política, a Kraken informará as autoridades competentes ou aos autores de ações civis que, de acordo com o nosso conhecimento, as suas atividades de investigação foram conduzidas de acordo com os termos e condições deste programa.

É necessário que cada investigador nos envie uma notificação antes de se envolver em condutas que possam ser inconsistentes ou não abordadas por esta política. Agradecemos sugestões para esclarecimentos sobre políticas que ajudem os investigadores a conduzir a sua investigação e relatórios com confiança.

Todos os envios de recompensas são classificados pela Kraken e pagos com base na classificação de vulnerabilidade. Todos os pagamentos serão efetuados em BTC para a sua conta Kraken verificada e são definidos como uma diretriz, estando sujeitos a alterações.

• Todos os relatórios de erros devem ser enviados para [email protected], o único contacto oficial para este programa. Não utilize sites externos para enviar detalhes sobre vulnerabilidades. Quaisquer sites ou portais externos não são oficiais e não são aprovados pela Kraken.
• Para receber pagamentos de recompensas por erros, deve:
  • Registar-se no nível intermédio. Consulte: Criar uma conta - https://www.kraken.com/sign-up
  • Ter uma conta ATIVA
  • Fornecer documentação para verificação. Consulte também: https://support.kraken.com/hc/en-us/articles/360000672203-Document-requirements-for-verification
• Solicitar pagamento ou outro tipo de reconhecimento em troca de detalhes sobre vulnerabilidades resultará na inelegibilidade imediata para pagamentos de recompensas. A não divulgação dos detalhes sobre vulnerabilidades também resultará na inelegibilidade imediata para pagamentos de recompensas.
• Fornecer instruções detalhadas para reproduzir a vulnerabilidade e uma Prova de Conceito. 
• Se não for possível reproduzir as suas descobertas, o seu relatório não será elegível para pagamento. Explore apenas o que for necessário para provar uma vulnerabilidade de segurança e devolva imediatamente quaisquer ativos que tenham sido extraídos.
• É proibido divulgar vulnerabilidades a outras pessoas.
• Qualquer tentativa de contornar os procedimentos descritos nesta política resultará na inelegibilidade imediata para pagamentos de recompensas. 
• Incluir o seu endereço Bitcoin (BTC) para pagamento. Todas as recompensas serão emitidas em Bitcoin.
• Os pagamentos mínimos estão definidos abaixo. Todos os pagamentos podem ser modificados a critério da Kraken.
• O pagamento mínimo é o equivalente a 500 $ em Bitcoin (BTC).

As seguintes etapas são realizadas para processar um envio de um relatório sobre uma vulnerabilidade:

1. O relatório é enviado para a caixa de correio dedicada a relatórios sobre vulnerabilidades

2. A segurança da Kraken confirma o envio (SLA de 1 dia útil)

3. A segurança da Kraken faz a triagem do envio (SLA de 10 dias úteis)

4. A segurança da Kraken envia uma resposta com determinação; se for considerada uma vulnerabilidade, a notificação inclui o nível de gravidade e o valor de recompensa (solicitaremos um endereço de BTC)

5. Caso se trate de uma vulnerabilidades de segurança, a Kraken enviará a recompensa (SLA de 14 dias úteis)

Se desejar encriptar o envio do seu relatório sobre uma vulnerabilidade para maior segurança, pode utilizar a nossa chave pública PGP. Importe a chave para o seu cliente PGP, criptografe o seu relatório e envie-o para [email protected]. Também são aceites envios sem encriptação. Como importar a nossa chave pública PGP (opcional/segurança adicional):

• Transfira ou copie o bloqueio de chave pública, utilizando a ligação Criptografia em https://www.kraken.com/.well-known/security.txt (transfira o ficheiro https://www.kraken.com/.well-known/pgp-key.txt ou apenas copie o texto que começa com -----BEGIN PGP PUBLIC KEY BLOCK-----).
• Abra o seu cliente PGP ou GPG (por ex.: GnuPG na linha de comando, OpenPGP Key Manager ou GNOME Seahorse da Thunderbird/"Palavras-passe e chaves").
• Utilize o recurso "Importar chave" do cliente para adicionar a chave ao seu porta-chaves.
• (Opcional) Verifique a impressão digital da chave connosco para garantir a autenticidade.

• 26 relatórios recompensados no ano passado
• 434 relatórios enviados no ano passado
• Pagamento médio de 3962 $  no ano passado

Veja abaixo alguns dos investigadores que foram anteriormente recompensados pelo programa Recompensas por erros da Kraken.

Crítica

Os problemas de gravidade crítica apresentam um risco direto e imediato para uma ampla variedade dos nossos utilizadores ou para a própria Kraken. Por norma, afetam componentes de nível relativamente baixo/básico numa das nossas pilhas de aplicações ou infraestrutura. Por exemplo:

• execução arbitrária de código/comando num servidor na nossa rede de produção.
• consultas arbitrárias numa base de dados de produção.
• contorno do nosso processo de início de sessão, seja por palavra-passe ou por 2FA.
• acesso a dados confidenciais do utilizador de produção ou acesso a sistemas internos de produção.

Alto

Os problemas de gravidade alta permitem que um invasor leia ou modifique dados altamente confidenciais aos quais não estão autorizados a aceder. Por norma, têm um âmbito mais restrito do que os problemas críticos, embora ainda possa conceder um acesso amplo ao invasor. Por exemplo:

• XSS que contorna o CSP
• Descoberta de dados confidenciais do utilizador num recurso exposto publicamente
• Obtenção de acesso a um sistema não crítico ao qual uma conta de utilizador final não deve ter acesso

Médio

Os problemas de gravidade média permitem que um invasor leia ou modifique quantidades limitadas de dados que não estão autorizados a aceder. Por norma, concedem acesso a informações menos confidenciais do que problemas de gravidade alta. Por exemplo:

• Divulgação de informações não confidenciais de um sistema de produção ao qual o utilizador não deve ter acesso
• XSS que não contorna o CSP ou não executa ações confidenciais na sessão de outro utilizador
• CSRF para ações de baixo risco

Baixo

Os problemas de gravidade baixa permitem que um invasor aceda a quantidades extremamente limitadas de dados. Podem violar a expectativa de como algo deve funcionar, mas não permite praticamente nenhum escalonamento de privilégio ou capacidade de acionar comportamento não intencional por um invasor. Por exemplo:

• Acionamento de páginas de erro detalhadas ou de depuração sem prova de exploração ou obtenção de informações confidenciais.

Inelegibilidade

Os relatórios nos quais não temos interesse e não são elegíveis para recompensa incluem:

• Vulnerabilidades em sites hospedados por terceiros (support.kraken.com etc.), a menos que levem a uma vulnerabilidade no site principal. Vulnerabilidades e erros no blogue da Kraken (blog.kraken.com).
• Vulnerabilidades dependentes de ataque físico, engenharia social, spam, ataque DDOS etc.
• Vulnerabilidades que afetam navegadores desatualizados ou sem patches.
• Vulnerabilidades em aplicações de terceiros que usam a API da Kraken.
• Vulnerabilidades divulgadas publicamente em bibliotecas de terceiros ou tecnologia usada em produtos, serviços ou infraestrutura da Kraken antes de 30 dias após a divulgação pública do problema.
• Vulnerabilidades lançadas publicamente antes de a Kraken emitir uma correção abrangente.
• Vulnerabilidades já conhecidas por nós ou já denunciadas por outra pessoa (a recompensa vai para o primeiro a divulgar a vulnerabilidade).
• Problemas que não podem ser reproduzidos.
• Vulnerabilidades que exigem um nível improvável de interação do utilizador.
• Vulnerabilidades que exigem root/jailbreak em dispositivos móveis.
• Cabeçalhos de segurança ausentes sem prova de exploração.
• Pacotes de cifras TLS oferecidos.
• Sugestões sobre práticas recomendadas.
• Divulgação de versão do software.
• Qualquer relatório sem instruções detalhadas passo a passo e uma exploração de prova de conceito que o acompanhe.
• Problemas sobre os quais não podemos fazer nada razoavelmente, como problemas em especificações técnicas que a Kraken deve implementar para estar em conformidade com esses padrões.
• O resultado de ferramentas/scanners automatizados ou relatórios gerados por IA.
• Problemas sem nenhum impacto na segurança.

Problemas não relacionados com a segurança

Pode informar-nos sobre problemas não relacionados com a segurança em https://support.kraken.com.