• Kraken încurajează dezvăluirea responsabilă a vulnerabilităților de securitate prin programul nostru Bug Bounty.
• Cercetătorii trebuie să respecte politica scrisă. Această politică nu este negociabilă.
• Reguli esențiale:
  • Acționează cu bună credință și evită încălcări ale politicii.
  • Fă doar strictul necesar pentru a dovedi o vulnerabilitate. 
  • Nu face amenințări sau solicitări de răscumpărare.
  • Raportează vulnerabilitățile, incluzând instrucțiuni și exploatarea validării conceptului, imediat ce sunt descoperite și validate.
• Cercetătorii răspund pentru respectarea tuturor legilor aplicabile.
• Încercările de a submina sau încălca politica noastră vor duce la ineligibilitatea imediată pentru acest program. Amenințările sau încercările de extorcare ar putea fi înaintate organelor de aplicare a legii.
• Dacă ai dubii cu privire la ceva, contactează [email protected] pentru lămuriri.

Kraken crede cu tărie în valoarea ajutorului din partea specialiștilor în securitate și a dezvoltatorilor în vederea menținerii siguranței produselor și utilizatorilor noștri. Kraken a implementat și încurajează dezvăluirea coordonată a vulnerabilităților (CVD) prin intermediul programului nostru Bug Bounty. Programul Bug Bounty susține misiunea Kraken prin contribuția la protejarea clienților pe piața monedelor digitale.

Căutând erori în sistemele Kraken, ești de acord să păstrezi confidențialitatea strictă cu privire la toate datele, informațiile despre vulnerabilități, cercetarea ta și comunicările cu Kraken, până în momentul în care Kraken tratează problema și acordă permisiunea de dezvăluire. 

În situațiile în care cerințele acestei Politici sunt respectate, Kraken este de acord să nu inițieze acțiuni în justiție pentru cercetarea de securitate efectuată cu respectarea tuturor politicilor Kraken publicate cu privire la Bug Bounty, inclusiv pentru încălcările de bună credință, accidentale. 

Te rugăm să eviți încălcările intenționate ale confidențialității, prin crearea de conturi de test, ori de câte ori este posibil. În cazul în care întâlnești informații de identificare personală („IIP”) sau alte date sensibile pentru conturi pentru care nu ai acordul scris explicit al deținătorului contului de a le folosi pentru validarea descoperirilor tale, te rugăm să încetezi imediat accesarea acelor date și să raportezi problema către Kraken, incluzând o descriere a IIP sau altor date sensibile, nu datele în sine.

În conformitate cu regulamentele de protecție a datelor și cu politicile noastre de confidențialitate, ai obligația să:

• Nu stochezi sau transmiți IIP ale altor clienți. Raportezi imediat către Kraken dacă se întâmplă să înregistrezi orice IIP ale clienților și apoi să distrugi toate copiile IIP care nu îți aparțin. 
• Minimizezi colectarea de date și accesarea acestora în cursul cercetării tale. Colectezi și păstrezi numai informațiile absolut necesare pentru a demonstra și raporta vulnerabilitatea. 
• Ștergi imediat și în mod securizat toate datele colectate, după ce raportul este trimis și Kraken a confirmat primirea acestuia.
• Nu dezvălui către terți nicio vulnerabilitate și niciun fel de informații asociate, fără acordul scris explicit al Kraken. Aceasta include, dar fără a se limita la rețele de socializare, alte companii sau presă.
• Dacă raportezi o breșă de date sau locația unui depozit de date, nu o vulnerabilitate de securitate, te rugăm să furnizezi locația datelor și să nu le accesezi în continuare și nici să nu divulgi altora locația datelor.

Comunicarea trimisă privind recompensa pentru erori nu trebuie să conțină niciodată amenințări sau încercări de extorcare. Suntem deschiși achitării de recompense pentru descoperiri legitime, însă solicitările de răscumpărare nu sunt eligibile pentru plată. De exemplu, lipsa comunicării informațiilor legate de vulnerabilitate sau obstrucționarea în alt mod a capacității de a soluționa vulnerabilitatea până la îndeplinirea altor solicitări va fi considerată solicitare de răscumpărare. Este posibil să fim obligați prin lege sau să decidem în mod voluntar să raportăm autorităților orice comunicare privind recompensa pentru erori care include solicitări de răscumpărare. 

Considerăm că activitățile desfășurate în concordanță cu politica aceasta constituie comportament „autorizat” conform Computer Fraud and Abuse Act (CFAA- Legea privind frauda și abuzul informatic), Digital Millennium Copyright Act (DMCA- Legea privind drepturile de autor în era digitală) și legilor aplicabile împotriva atacurilor cibernetice, cum ar fi Codul Penal 503(c). Nu vom trage la răspundere cercetătorii pentru ocolirea măsurilor tehnice pe care le-am folosit pentru protejarea aplicațiilor, sub acoperirea programului Bug Bounty. Cu toate acestea, respectarea acestei politici nu înseamnă că Kraken sau orice altă organizație individuală sau guvern poate acorda imunitate față de legile globale. Cercetătorii de securitate poartă răspunderea pentru înțelegerea și respectarea tuturor legilor locale și internaționale aplicabile cu privire la protecția împotriva atacurilor cibernetice, date și confidențialitate și măsurile de control privind exporturile. Dacă un terț inițiază acțiuni în justiție împotriva ta, iar tu ai respectat condițiile din această politică, atunci Kraken va informa agențiile de aplicare a legii relevante sau reclamanții parte civilă că activitățile tale de cercetare au fost desfășurate, conform celor mai bune cunoștințe ale noastre, în baza și în conformitate cu termenii și condițiile acestui program.

Este obligatoriu ca fiecare cercetător să trimită o notificare către noi înainte de a se angaja în comportamente care ar putea fi neconforme cu această politică sau neabordate în aceasta. Apreciem sugestiile privind lămurirea politicii care ajută cercetătorii să-și desfășoare cercetarea și să raporteze cu încredere.

Toate comunicările trimise privind recompensa sunt evaluate de către Kraken și plătite în funcție de evaluarea vulnerabilității. Toate plățile vor avea loc în BTC către contul tău Kraken verificat și sunt definite orientativ și supuse modificărilor.

• Toate raportările de erori trebuie trimise la [email protected], singurul punct de contact oficial pentru acest program. Te rugăm să nu folosești site-uri externe pentru a trimite detalii privind vulnerabilitățile. Orice site-uri sau portaluri externe sunt neoficiale și nu sunt aprobate de către Kraken.
• Pentru a primi plăți ca recompensă pentru erori, trebuie să:
  • Te înregistrezi la nivelul intermediar. Consultă: Crezi un cont – https://www.kraken.com/sign-up
  • Ai un cont ACTIV.
  • Furnizezi documente în vederea verificării. Consultă și: https://support.kraken.com/hc/en-us/articles/360000672203-Document-requirements-for-verification
• Solicitarea de plată sau de alt semn de recunoștință în schimbul detaliilor privind vulnerabilitățile va duce la ineligibilitatea imediată pentru plăți ca recompensă. Lipsa comunicării detaliilor privind vulnerabilitățile va duce, de asemenea, la ineligibilitatea imediată pentru plăți ca recompensă.
• Oferă instrucțiuni detaliate pentru reproducerea vulnerabilității și o dovadă a conceptului. 
• Dacă nu putem reproduce descoperirile tale, raportul tău nu va fi eligibil pentru plată. Exploatează doar ceea ce este necesar pentru a dovedi o vulnerabilitate și returnează prompt orice active care au fost extrase.
• Dezvăluirea vulnerabilității către alte persoane este interzisă.
• Orice încercare de a ocoli procedurile descrise în această politică vor duce la ineligibilitatea imediată pentru plăți ca recompensă. 
• Include adresa ta de Bitcoin (BTC) pentru plată. Toate recompensele vor fi emise în Bitcoin.
• Valorile minime de plată sunt stabilite mai jos. Toate plățile pot suferi modificări, la discreția Kraken.
• Plata minimă este valoarea echivalentă în Bitcoin (BTC) a 500 USD.

Pașii de parcurs pentru procesarea unei comunicări trimise pentru Bug Bounty sunt următorii:

1. Raportul este trimis către căsuța de mail pentru Bug Bounty

2. Echipa de securitate a Kraken confirmă depunerea (SLA – 1 zi lucrătoare)

3. Echipa de securitate a Kraken triază comunicarea trimisă (SLA – 10 zile lucrătoare)

4. Echipa de securitate trimite răspunsul, stabilind dacă este considerată o vulnerabilitate; notificarea include nivelul de gravitate și suma recompensei (vom solicita o adresă de BTC)

5. În cazul vulnerabilităților de securitate, Kraken va trimite recompensa (SLA – 14 zile lucrătoare)

Dacă dorești criptarea comunicării trimise privind recompensa pentru erori, pentru securitate suplimentară, poți folosi cheia noastră publică PGP. Importă cheia în clientul tău PGP, criptează raportul, apoi trimite-l la [email protected]. Sunt acceptate și comunicările fără criptare. Cum să imporți cheia noastră publică PGP (opțional/securitate suplimentară):

• Descarcă sau copiază șirul de cheie publică folosind linkul Criptare din https://www.kraken.com/.well-known/security.txt (descarcă fișierul https://www.kraken.com/.well-known/pgp-key.txt sau copiază textul care începe cu -----ÎNCEPUT ȘIR CHEIE PUBLICĂ PGP-----)
• Deschide clientul PGP sau GPG (de ex., GnuPG prin linie de comandă, OpenPGP Key Manager din Thunderbird sau GNOME Seahorse / „Parole și chei”).
• Folosește caracteristica „Import cheie” a clientului pentru a adăuga cheia la brelocul tău.
• Verifică la noi amprenta cheii, pentru a asigura autenticitatea (opțional).

• 26 de raportări recompensate în ultimul an
• 434 de raportări trimise în ultimul an
• 3962 USD ca plată medie în ultimul an

Vezi mai jos o parte dintre cercetătorii care au fost recompensați în trecut prin programul Bug Bounty al Kraken.

Critică

Problemele de gravitate critică prezintă un risc direct și imediat pentru un număr mare dintre utilizatorii noștri sau pentru Kraken. Adesea, acestea afectează componente fundamentale sau de la un nivel destul de jos din una dintre stivele noastre de aplicație sau din infrastructură. De exemplu:

• execuție arbitrară de cod/comandă pe un server din rețeaua noastră de producție;
• interogări arbitrare într-o bază de date din producție;
• ocolirea procesului nostru de conectare, fie parola, fie 2FA;
• accesul la date de utilizator sensibile din producție sau acces la sistemele din producție interne.

Ridicat

Problemele de gravitate ridicată permit unui atacator să citească sau să modifice date sensibile pe care nu este autorizat să le acceseze. În general, acestea au un domeniu de aplicare mai redus decât problemele critice, dar ar putea, totuși, acorda acces cuprinzător unui atacator. De exemplu:

• XSS care ocolește CSP
• Descoperirea de date de utilizator sensibile într-o resursă expusă public
• Dobândirea accesului la un sistem ne-critic la care un cont de utilizator final nu ar trebui să aibă acces

Mediu

Problemele de gravitate medie permit unui atacator să citească sau să modifice volume limitate de date pe care nu este autorizat să le acceseze. În general, acestea acordă acces la informații mai puțin sensibile decât problemele de gravitate ridicată. De exemplu:

• Dezvăluirea de informații non-sensibile dintr-un sistem din producție la care utilizatorul nu ar trebui să aibă acces
• XSS care nu ocolește CSP sau nu execută acțiuni sensibile în sesiunea altui utilizator
• CSRF pentru acțiuni de risc scăzut

Scăzut

Problemele de gravitate scăzută permit unui atacator să acceseze volume extrem de limitate de date. Acestea ar putea să contravină așteptărilor cu privire la modul în care este prevăzut să funcționeze ceva, dar nu permite aproape nicio creștere a privilegiilor sau a capacității de a declanșa comportament nedorit din partea unui atacator. De exemplu:

• Declanșarea unor pagini de eroare de depanare sau cu foarte multe detalii fără dovada capacității de exploatare sau fără a obține informații sensibile.

Ineligibilitate

Raportările de care nu suntem interesați și care nu sunt eligibile pentru recompense includ:

• Vulnerabilități pe site-uri găzduite de terți (support.kraken.com etc.), cu excepția cazului în care duc la o vulnerabilitate pe site-ul web principal. Vulnerabilități și erori pe blogul Kraken (blog.kraken.com).
• Vulnerabilități care depind de atac fizic, inginerie socială, spam, atac DDOS etc.
• Vulnerabilități care afectează browsere depășite sau necorectate.
• Vulnerabilități în aplicații terțe care folosesc API-ul Kraken.
• Vulnerabilități dezvăluite public în biblioteci terțe sau tehnologia folosită în produsele, serviciile sau infrastructura Kraken mai devreme de 30 de zile după dezvăluirea publică a problemei.
• Vulnerabilități care au fost lansate în spațiul public înainte de implementarea de către Kraken a unui remediu cuprinzător.
• Vulnerabilități deja cunoscute de noi sau deja raportate de altcineva (recompensa revine primului raportor).
• Probleme care nu pot fi reproduse.
• Vulnerabilități care necesită un nivel improbabil de interacțiune din partea utilizatorului.
• Vulnerabilități care necesită root/jailbreak pe dispozitive mobile.
• Antete de securitate lipsă, fără dovada capacității de exploatare.
• Oferirea de suite criptografice TLS.
• Sugestii cu privire la cele mai bune practici.
• Dezvăluirea versiunii software.
• Orice raportare fără instrucțiuni detaliate pas cu pas și o exploatare însoțitoare a dovezii conceptului.
• Probleme cu privire la care nu pot exista așteptări rezonabile ca noi să luăm măsuri, cum ar fi probleme legate de specificații tehnice, pe care Kraken trebuie să le implementeze pentru a respecta standardelor respective.
• Rezultatele din instrumente/scanere automatizate sau rapoarte generate de inteligența artificială.
• Probleme fără niciun impact asupra securității.

Problemele care nu țin de securitate

Ne poți informa cu privire la problemele care nu țin de securitate la https://support.kraken.com.