• Kraken uppmuntrar till ansvarsfull rapportering av säkerhetssårbarheter via vårt Bug Bounty-program.
• Forskare måste följa vår skriftliga policy. Policyn är inte förhandlingsbar.
• Huvudregler:
  • Agera i god tro och undvik att bryta mot policyn.
  • Gör inte mer än vad som behövs för att bevisa en sårbarhet. 
  • Kom inte med hotelser eller utpressningskrav.
  • Rapportera sårbarheter, inklusive instruktioner och konceptbevis för sårbarheten (PoC) omedelbart när de har upptäckts och validerats.
• Forskare ansvarar för att följa alla tillämpliga lagar.
• Försök att kringgå eller bryta mot vår policy kommer att leda till omedelbar diskvalificering från detta program. Hot och utpressningsförsök kan hänvisas till polisen.
• Kontakta [email protected] för klargörande om du är osäker på något.

Kraken lägger stort värde vid att säkerhetsexperter och utvecklare bidrar till att skydda våra produkter och användare. Kraken har upprättat och uppmuntrar till ansvarsfull rapportering av sårbarheter via vårt Bug Bounty-program. Big Bounty-programmet främjar Krakens verksamhet genom att bidra till skyddet av kunder på den digitala kryptomarknaden.

När du söker efter buggar i Krakens system samtycker du till att hålla alla data samt all information om sårbarheter, din forskning och kommunikation med Kraken strängt konfidentiell tills Kraken har åtgärdat problemet och gett tillstånd att lämna ut uppgifterna. 

Så länge kraven i denna policy följs samtycker Kraken till att inte vidta rättsliga åtgärder gentemot säkerhetsforskning som utförts i enlighet med alla Krakens Bug Bounty-policyer, inklusive god tro och oavsiktliga överträdelser. 

Undvik avsiktliga policyöverträdelser genom att skapa testkonton när det är möjligt. Om du stöter på identitetsuppgifter eller andra känsliga uppgifter för konton vars uppgifter du inte har kontoägarens uttryckliga skriftliga tillstånd att använda för att validera dina resultat ska du omedelbart sluta använda uppgifterna och rapportera problemet till Kraken med en beskrivning av identitetsuppgifterna eller de känsliga uppgifterna, inte själva uppgifterna.

Enligt dataskyddsbestämmelser och våra integritetspolicyer gäller följande:

• Lagra eller överför inte andra kunders identitetsuppgifter. Om du råkar samla in identitetsuppgifter från kunder ska du omedelbart rapportera detta till Kraken och sedan förstöra alla exemplar av identitetsuppgifter som inte är dina. 
• Minimera datainsamlingen och åtkomsten till data under din forskning. Samla in och lagra endast information som är absolut nödvändig för att demonstrera och rapportera sårbarheten. 
• Radera omedelbart alla insamlade data på ett säkert sätt när rapporten är inskickad och Kraken har bekräftat mottagandet.
• Lämna inte ut information om sårbarheter eller därmed förknippad information till tredjeparter utan Krakens uttryckliga skriftliga tillstånd. Detta omfattar, men begränsas inte till, sociala medier, andra företag eller medier.
• Om du rapporterar ett dataintrång eller platsen för ett datalager istället för en säkerhetssårbarhet ska du ange var dessa data finns och inte använda dem vidare eller lämna ut platsen där dessa data finns till andra.

En Bug Bounty-rapport får aldrig innehålla hot eller utpressningsförsök. Vi är öppna för att betala ut belöningar för legitima resultat, men vi betalar inte för utpressningskrav. Till exempel betraktas vägran att överlämna information om sårbarheten eller annat hinder för möjligheten att åtgärda sårbarheten tills andra krav har uppfyllts som ett utpressningskrav. Vi kan vara skyldiga enligt lag eller själva välja att rapportera Bug Bounty-rapporter med utpressningskrav till myndigheterna. 

Vi anser att aktiviteter som utförts i enlighet med denna policy utgör ”tillåtet” beteende enligt Computer Fraud and Abuse Act (CFAA), Digital Millennium Copyright Act (DMCA) och tillämpliga intrångsbekämpningslagar såsom Cal. Penal Code 503(c). Vi kommer inte att vidta åtgärder mot forskare som inom ramen för Bug Bounty-programmet kringgår de tekniska åtgärder vi har använt för att skydda applikationerna. Det faktum att denna policy följs innebär dock inte att Kraken eller någon annan enskild organisation eller myndighet kan bevilja immunitet mot globala lagar. Enskilda säkerhetsforskare har ansvaret för att förstå och följa alla tillämpliga lokala och internationella lagar som rör intrång, data och integritet samt exportkontroll. Om en tredjepart vidtar rättsliga åtgärder mot dig och du följde villkoren i denna policy kommer Kraken att informera berörda polismyndigheter eller målsägande om att din forskningsverksamhet, såvitt vi vet, utfördes enligt, och på ett sätt som är förenligt med, villkoren i detta program.

Alla forskare måste meddela oss innan de vidtar åtgärder som kan vara oförenliga med denna policy eller inte tas upp i den. Vi välkomnar förslag på hur policyn kan förtydligas på ett sätt som hjälper forskare att tryggt genomföra sin forskning och rapportera.

Alla belöningsrapporter bedöms av Kraken och utbetalning sker enligt en sårbarhetsklassificering. Alla utbetalningar görs i BTC till ditt verifierade Kraken-konto. Definitionerna utgör riktlinjer och kan komma att ändras.

• Alla buggrapporter ska skickas till [email protected], den enda officiella kontaktpunkten för detta program. Använd inte externa webbplatser för att skicka information om sårbarheter. Externa webbplatser eller portaler är icke-officiella och godkänns inte av Kraken.
• Krav för att få Bug Bounty-utbetalningar:
  • Registrering på Intermediate-nivå. Se Skapa ett konto https://www.kraken.com/sign-up.
  • Ha ett AKTIVT konto.
  • Tillhandahåll dokument för verifiering. Se även https://support.kraken.com/hc/en-us/articles/360000672203-Document-requirements-for-verification.
• En förfrågan om betalning eller annan bekräftelse i utbyte mot sårbarhetsinformation leder till omedelbar diskvalificering för belöningsutbetalning. Även en vägran att överlämna sårbarhetsinformation leder till omedelbar diskvalificering för belöningsutbetalning.
• Tillhandahåll detaljerade anvisningar för hur man återskapar sårbarheten samt ett konceptbevis. 
• Om vi inte kan återskapa dina resultat berättigar din rapport inte till utbetalning. Exploatera endast det som behövs för att bevisa en säkerhetssårbarhet och lämna omedelbart tillbaka eventuella tillgångar som har extraherats.
• Det är förbjudet att lämna ut sårbarhetsinformation till andra individer.
• Alla försök att kringgå förfarandet i denna policy leder till omedelbar diskvalificering för belöningsutbetalningar. 
• Ange din BTC-adress (bitcoin) för betalning. Alla belöningar utfärdas i bitcoin.
• Minimibetalningar definieras nedan. Alla betalningar kan ändras efter Krakens gottfinnande.
• Minimibetalningen är motsvarigheten till 500 USD i bitcoin (BTC).

Bug Bounty-rapporter bearbetas enligt följande steg:

1. Rapporten skickas till Bug Bounty-brevlådan.

2. Krakens säkerhetsteam bekräftar mottagandet (svarstid 1 arbetsdag).

3. Krakens säkerhetsteam klassificerar rapporten (svarstid 10 arbetsdagar).

4. Krakens säkerhetsteam skickar ett svar med beslutet. Om det bedöms vara en sårbarhet innehåller meddelandet allvarlighetsgrad och belöningsbelopp (vi ber om en BTC-adress).

5. Kraken skickar belöningen för säkerhetssårbarheter (svarstid 14 arbetsdagar).

Om du vill kryptera din Bug Bounty-rapport för ökad säkerhet kan du använda vår offentliga PGP-nyckel. Importera nyckeln till din PGP-klient, kryptera din rapport och skicka den sedan till [email protected]. Även okrypterade rapporter accepteras. Så här importerar du vår offentliga PGP-nyckel (valfritt/ytterligare säkerhet):

• Ladda ned eller kopiera det offentliga nyckelblocket via krypteringslänken på https://www.kraken.com/.well-known/security.txt (ladda ned filen https://www.kraken.com/.well-known/pgp-key.txt eller kopiera bara texten som börjar med -----BEGIN PGP PUBLIC KEY BLOCK-----)
• Öppna din PGP- eller GPG-klient (t.ex. GnuPG på kommandoraden, OpenPGP Key Manager i Thunderbird eller GNOME Seahorse/Passwords & Keys).
• Använd klientens nyckelimporteringsfunktion för att lägga till nyckeln i din nyckelring.
• (Valfritt) Verifiera nyckelns fingeravtryck med oss för att säkerställa att den är äkta.

• Belönade rapporter förra året: 26
• Skickade rapporter förra året: 434
• Genomsnittlig utbetalning förra året: 3 962 $

Här kommer några av de forskare som har belönats genom Krakens Bug Bounty-program.

Kritisk

Sårbarheter med kritisk allvarlighetsgrad medför en direkt och omedelbar risk för en stor del av våra användare eller för Kraken själva. De påverkar ofta grundläggande komponenter eller komponenter på relativt låg nivå i en av våra applikationsstackar eller vår infrastruktur. Exempel:

• Slumpmässiga kodavsnitt/kommandon kan utföras på en server eller i vårt produktionsnätverk.
• Slumpmässiga frågor kan köras på en produktionsdatabas.
• Möjlighet att kringgå vår inloggningsprocess, antingen lösenord eller tvåfaktorsautentisering.
• Tillgång till känsliga produktionsanvändardata eller tillgång till interna produktionssystem.

Hög

Sårbarheter med hög allvarlighetsgrad gör det möjligt för angripare att läsa eller modifiera mycket känsliga data de saknar åtkomstbehörighet till. Omfattningen är ofta smalare än för kritiska sårbarheter, men de kan ändå ge en angripare stor åtkomst. Exempel:

• XSS som kringgår CSP.
• Känsliga användaruppgifter upptäcks i en offentligt exponerad resurs.
• Tillgång till ett icke-kritiskt system som ett slutanvändarkonto inte borde ha åtkomst till.

Medium (medel)

Sårbarheter med medelhög allvarlighetsgrad gör det möjligt för angripare att läsa eller modifiera begränsade mängder data de saknar åtkomstbehörighet till. De ger vanligtvis åtkomst till mindre känslig information än sårbarheter med hög allvarlighetsgrad. Exempel:

• Icke-känslig information lämnas ut från ett produktionssystem som användaren inte borde ha tillgång till.
• XSS som inte kringgår CSP och inte utför känsliga åtgärder i en annan användares session.
• CSRF för lågriskåtgärder.

Låg

Sårbarheter med låg allvarlighetsgrad gör det möjligt för en angripare att komma åt väldigt begränsade mängder data. Det kanske inte fungerar som förväntat, men de ger angriparen minimal behörighetseskalering eller möjlighet att utlösa oavsett beteende. Exempel:

• Omständliga felsidor eller felsökningssidor utlöses utan bevis på sårbarheter och utan att känslig information lämnas ut.

Icke-berättigande rapporter

Exempel på rapporter som vi inte är intresserade av och som inte berättigar till belöningar:

• Sårbarheter på webbplatser som värdlagras hos tredjepart (t.ex. support.kraken.com) såvida inte de leder till en sårbarhet på huvudwebbplatsen. Sårbarheter och buggar på Kraken-bloggen (blog.kraken.com).
• Sårbarheter som är beroende av fysiska angrepp, social ingenjörskonst, skräppost, överbelastningsattacker osv.
• Sårbarheter som påverkar webbläsare som är föråldrade eller där programfixar inte har tillämpats.
• Sårbarheter i tredjepartsapplikationer som använder Krakens API.
• Sårbarheter som har offentliggjorts i tredjepartsbibliotek eller teknik som används i Krakens produkter, tjänster eller infrastruktur tidigare än 30 dagar efter att problemet offentliggjorts.
• Sårbarheter som har offentliggjorts innan Kraken har utfärdat en omfattande korrigering.
• Sårbarheter vi redan känner till eller som redan har rapporterats av någon annan (belöningen går till den som rapporterar först).
• Problem som inte kan återskapas.
• Sårbarheter som kräver en osannolik mängd användarinteraktion.
• Sårbarheter som kräver rotåtkomst/jailbreak på mobiltelefoner.
• Avsaknad av security headers utan bevis på sårbarhet.
• Erbjudna TLS-chiffersviter.
• Förslag på goda arbetsmetoder.
• Sårbarheter som beror på att information om mjukvaruversionen lämnas ut.
• Rapporter utan detaljerade stegvisa anvisningar och ett medföljande konceptbevis för sårbarheten.
• Problem som vi inte rimligtvis kan förväntas göra något åt, till exempel problem med tekniska specifikationer som Kraken måste implementera för att följa standarderna.
• Resultat från automatiserade verktyg/genomsökningar eller AI-genererade rapporter.
• Problem som inte påverkar säkerheten.

Icke-säkerhetsrelaterade problem

Du kan informera oss om icke-säkerhetsrelaterade problem på https://support.kraken.com.