• Kraken ส่งเสริมให้เปิดเผยข้อมูลอย่างรับผิดชอบ เมื่อเจอช่องโหว่ด้านความปลอดภัยผ่านโปรแกรม Bug Bounty ของเรา
• นักวิจัยต้องปฏิบัติตามนโยบายที่กำหนดไว้เป็นลายลักษณ์อักษร นโยบายนี้ไม่สามารถต่อรองได้
• กฎหลัก
  • ปฏิบัติด้วยความสุจริตและไม่ฝ่าฝืนนโยบาย
  • ไม่ดำเนินการเกินความจำเป็นในการพิสูจน์ช่องโหว่ 
  • ห้ามข่มขู่หรือเรียกค่าไถ่
  • รายงานช่องโหว่ทันทีที่พบและตรวจสอบแล้ว โดยรวมถึงคู่มือและการวิเคราะห์ความเป็นไปได้ (PoC) ในการใช้ประโยชน์จากช่องโหว่
• นักวิจัยมีหน้าที่ปฏิบัติตามกฎหมายที่เกี่ยวข้องทั้งหมด
• การพยายามหลีกเลี่ยงหรือฝ่าฝืนนโยบายจะทำให้หมดสิทธิ์เข้าร่วมโปรแกรมทันที การข่มขู่หรือพยายามรีดไถอาจถูกส่งต่อให้หน่วยงานบังคับใช้กฎหมายดำเนินการ
• หากไม่แน่ใจในประเด็นใด โปรดติดต่อ [email protected] เพื่อขอคำชี้แจง

Kraken เชื่อมั่นอย่างมากในคุณค่าของผู้เชี่ยวชาญด้านความปลอดภัยและนักพัฒนาที่ช่วยปกป้องผลิตภัณฑ์และผู้ใช้ของเราให้ปลอดภัย Kraken จัดตั้งและส่งเสริมการเปิดเผยช่องโหว่แบบประสานงาน (CVD) ผ่านโปรแกรม Bug Bounty ของเรา โปรแกรม Bug Bounty สนับสนุนพันธกิจของ Kraken โดยช่วยปกป้องลูกค้าในตลาดสกุลเงินดิจิทัล

เมื่อทำการค้นหาช่องโหว่ในระบบของ Kraken คุณตกลงที่จะเก็บข้อมูลทั้งหมด ข้อมูลเกี่ยวกับช่องโหว่ งานวิจัย และการสื่อสารกับ Kraken ไว้เป็นความลับอย่างเข้มงวด จนกว่า Kraken จะดำเนินการแก้ไขปัญหาและอนุญาตให้เปิดเผยได้ 

เมื่อปฏิบัติตามข้อกำหนดของนโยบายนี้ครบถ้วน Kraken ตกลงที่จะไม่ดำเนินการทางกฎหมายต่อการวิจัยด้านความปลอดภัยที่ปฏิบัติตามนโยบาย Bug Bounty ของ Kraken ทั้งหมด รวมถึงการละเมิดโดยไม่ได้ตั้งใจด้วยเจตนาที่สุจริต 

โปรดหลีกเลี่ยงการละเมิดความเป็นส่วนตัวโดยตั้งใจ และใช้บัญชีทดสอบเมื่อใดก็ตามที่สามารถทำได้ หากคุณพบข้อมูลส่วนบุคคล (PII) หรือข้อมูลส่วนบุคคลที่อ่อนไหวอื่นๆ ของบัญชีที่คุณไม่ได้รับอนุญาตเป็นลายลักษณ์อักษรจากเจ้าของบัญชีเพื่อใช้ในการยืนยันผลการค้นหา โปรดหยุดเข้าถึงข้อมูลนั้นทันที และรายงานปัญหาต่อ Kraken โดยให้อธิบายประเภทของ PII หรือข้อมูลส่วนบุคคลที่อ่อนไหวที่พบ โดยไม่ส่งตัวข้อมูลจริง

เพื่อให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลและนโยบายความเป็นส่วนตัวของเรา คุณต้องปฏิบัติดังนี้

• ห้ามจัดเก็บหรือส่งต่อ PII ของลูกค้ารายอื่น หากพบว่าได้รับ PII ของลูกค้ารายอื่นโดยไม่ตั้งใจ ให้รายงานต่อ Kraken ทันที และทำลายสำเนาข้อมูลทั้งหมดที่ไม่ใช่ของคุณ 
• ลดการเก็บและเข้าถึงข้อมูลให้น้อยที่สุดระหว่างการวิจัย เก็บและรักษาเฉพาะข้อมูลที่จำเป็นอย่างยิ่งเท่านั้นในการแสดงและรายงานช่องโหว่ที่พบ 
• ลบข้อมูลทั้งหมดที่เก็บรวบรวมไว้อย่างปลอดภัยทันทีหลังจากที่ส่งรายงานและ Kraken ยืนยันการรับรายงานเรียบร้อยแล้ว
• ห้ามเปิดเผยช่องโหว่หรือข้อมูลที่เกี่ยวข้องต่อบุคคลที่สามโดยไม่ได้รับความยินยอมเป็นลายลักษณ์อักษรจาก Kraken ซึ่งรวมถึงแต่ไม่จำกัดเฉพาะโซเชียลมีเดีย บริษัทอื่น หรือสื่อมวลชน
• หากคุณรายงานเหตุการณ์ข้อมูลรั่วไหลหรือพบตำแหน่งที่เก็บข้อมูลแทนการรายงานช่องโหว่ด้านความปลอดภัย กรุณาแจ้งเฉพาะตำแหน่งของข้อมูลนั้น ห้ามเข้าถึงเพิ่มเติม และห้ามเผยแพร่ตำแหน่งดังกล่าวต่อผู้อื่น

การส่ง Bug Bounty ต้องไม่มีการข่มขู่หรือพยายามรีดไถทุกกรณี เรายินดีพิจารณาจ่ายรางวัลสำหรับการค้นพบที่ถูกต้องตามหลักการ อย่างไรก็ตามคำขู่เรียกค่าไถ่จะไม่ได้รับสิทธิ์ในการรับรางวัล ตัวอย่างเช่น การไม่เปิดเผยข้อมูลช่องโหว่ หรือขัดขวางกระบวนการแก้ไขช่องโหว่จนกว่าจะมีการตอบสนองต่อข้อเรียกร้องอื่นๆ จะถือว่าเป็นการเรียกค่าไถ่ เราอาจจำเป็นต้องทำตามกฎหมาย หรืออาจเลือกที่จะรายงานต่อเจ้าหน้าที่โดยสมัครใจ หากการส่งรายงาน Bug Bounty มีลักษณะเป็นการเรียกค่าไถ่ 

เราเชื่อว่ากิจกรรมที่ดำเนินการตามนโยบายนี้ถือเป็น “การกระทำที่ได้รับอนุญาต” ภายใต้รัฐบัญญัติว่าด้วยการกระทำโดยมิชอบและการฉ้อโกงทางคอมพิวเตอร์ (CFAA) รัฐบัญญัติลิขสิทธิ์แห่งสหัสวรรษดิจิทัล (DMCA) รวมถึงกฎหมายต่อต้านการแฮ็กอื่นๆ ที่เกี่ยวข้อง เช่น Cal. ประมวลกฎหมายอาญา มาตรา 503(c) เราจะไม่ฟ้องร้องนักวิจัยที่หลีกเลี่ยงมาตรการเชิงเทคนิคที่เราใช้ปกป้องแอปพลิเคชันที่อยู่ในขอบเขตของโปรแกรม Bug Bounty อย่างไรก็ตาม การปฏิบัติตามนโยบายนี้ไม่ได้หมายความว่า Kraken หรือองค์กร หรือรัฐบาลใดๆ จะสามารถให้เอกสิทธิ์คุ้มกันจากกฎหมายที่มีผลบังคับใช้ทั่วโลกได้ นักวิจัยด้านความปลอดภัยแต่ละรายมีหน้าที่ในการทำความเข้าใจและปฏิบัติตามกฎหมายที่เกี่ยวข้องทั้งหมด ทั้งในระดับท้องถิ่นและระหว่างประเทศ ซึ่งรวมถึงกฎหมายด้านการป้องกันการแฮ็ก ข้อมูลและความเป็นส่วนตัว รวมถึงการควบคุมการส่งออก หากมีบุคคลที่สามดำเนินคดีทางกฎหมายกับคุณ และคุณได้ปฏิบัติตามข้อกำหนดของนโยบายนี้อย่างครบถ้วน Kraken จะชี้แจงต่อหน่วยงานบังคับใช้กฎหมายหรือโจทก์ทางแพ่งที่เกี่ยวข้องว่า จากข้อมูลที่เรามีกิจกรรมการวิจัยของคุณได้ดำเนินการภายใต้ และเป็นไปตามข้อกำหนดและเงื่อนไขของโปรแกรมนี้

นักวิจัยแต่ละรายจะต้องแจ้งให้เราทราบล่วงหน้าก่อนดำเนินการใดๆ ที่อาจไม่สอดคล้อง หรือไม่ได้ระบุไว้ในนโยบายนี้ เรายินดีรับข้อเสนอแนะเพื่อปรับปรุงความชัดเจนของนโยบาย เพื่อช่วยให้นักวิจัยสามารถดำเนินการวิจัยและรายงานผลได้อย่างมั่นใจ

การส่งผลงานเพื่อขอรับรางวัลทั้งหมดจะถูกประเมินโดย Kraken และจ่ายรางวัลตามระดับของช่องโหว่ การจ่ายทั้งหมดจะดำเนินการในรูปแบบ BTC ไปยังบัญชี Kraken ที่ผ่านการยืนยันแล้ว โดยจำนวนรางวัลเป็นเพียงแนวทางและอาจมีการเปลี่ยนแปลงได้

• รายงานบั๊กทั้งหมดต้องส่งไปที่ [email protected] ซึ่งเป็นช่องทางติดต่ออย่างเป็นทางการเพียงช่องทางเดียวในโปรแกรมนี้ โปรดอย่าส่งรายละเอียดของช่องโหว่ผ่านเว็บไซต์ภายนอก เว็บไซต์หรือพอร์ทัลภายนอกใดๆ ถือว่าไม่เป็นทางการและไม่ได้รับการอนุมัติจาก Kraken
• เพื่อรับเงินจากโปรแกรม Bug Bounty คุณต้อง:
  • ลงทะเบียนบัญชีในระดับ Intermediate ดูที่: สร้างบัญชี https://www.kraken.com/sign-up
  • มีบัญชีที่เปิดใช้งาน
  • จัดเตรียมเอกสารเพื่อใช้ในการยืนยันตัวตน ดูเพิ่มเติม: https://support.kraken.com/hc/en-us/articles/360000672203-Document-requirements-for-verification
• การเรียกร้องค่าตอบแทนหรือสิ่งตอบแทนใดๆ เพื่อแลกกับรายละเอียดของช่องโหว่ จะส่งผลให้หมดสิทธิ์รับเงินรางวัลทันที การไม่เปิดเผยรายละเอียดของช่องโหว่ จะส่งผลให้หมดสิทธิ์รับเงินรางวัลทันที
• จัดเตรียมขั้นตอนอย่างละเอียดเพื่อใช้ในการทำสำเนาช่องโหว่ และการวิเคราะห์ความเป็นไปได้ (PoC) 
• หากเราไม่สามารถทำสำเนาหรือยืนยันผลการค้นพบของคุณได้ รายงานดังกล่าวจะไม่มีสิทธิ์ได้รับการจ่ายรางวัล ใช้ประโยชน์จากช่องโหว่เฉพาะเท่าที่จำเป็นเพื่อพิสูจน์ช่องโหว่ด้านความปลอดภัย และต้องคืนทรัพย์สินใดๆ ที่ถูกนำออกไปโดยทันที
• ห้ามเปิดเผยข้อมูลช่องโหว่ให้กับบุคคลอื่นโดยเด็ดขาด
• การพยายามหลีกเลี่ยงหรือไม่ปฏิบัติตามขั้นตอนที่ระบุไว้ในนโยบายนี้ จะส่งผลให้หมดสิทธิ์รับเงินรางวัลทันที 
• ระบุที่อยู่ Bitcoin (BTC) สำหรับการรับเงิน รางวัลทั้งหมดจะจ่ายในรูปแบบ Bitcoin
• เกณฑ์การจ่ายเงินขั้นต่ำระบุไว้ด้านล่าง การจ่ายเงินรางวัลทั้งหมดอาจมีการปรับเปลี่ยนได้ตามดุลยพินิจของ Kraken
• ยอดเงินรางวัลขั้นต่ำคือ Bitcoin (BTC) มูลค่าเทียบเท่า $500 USD

ขั้นตอนต่อไปนี้ใช้สำหรับการดำเนินในโปรแกรม Bug Bounty

1. ส่งรายงานไปยังอีเมลของโปรแกรม Bug Bounty

2. ทีมความปลอดภัยของ Kraken ยืนยันรับทราบ (SLA ภายใน 1 วันทำการ)

3. ทีมความปลอดภัยของ Kraken คัดกรองและประเมินรายงาน (SLA ภายใน 10 วันทำการ)

4. ทีมความปลอดภัยของ Kraken ส่งผลการพิจารณา หากพบว่าเป็นช่องโหว่ รายละเอียดจะแจ้งระดับความรุนแรงและจำนวนเงินรางวัล (โดยจะขอที่อยู่ BTC)

5. สำหรับกรณีที่เป็นช่องโหว่ด้านความปลอดภัย ทาง Kraken จะดำเนินการจ่ายรางวัล (SLA ภายใน 14 วันทำการ)

หากต้องการเพิ่มความปลอดภัยในโดยเข้ารหัสลับการส่งรายงาน Bug Bounty คุณสามารถใช้คีย์สาธารณะ PGP ของเราได้ ให้นำเข้าคีย์ไปใน PGP ของคุณ เข้ารหัสรายงาน แล้วส่งไปที่ [email protected] รายงานที่ไม่ได้เข้ารหัสก็สามารถส่งได้เช่นกัน วิธีนำเข้าคีย์สาธารณะ PGP ของเรา (ไม่บังคับ / เพิ่มความปลอดภัย)

• ดาวน์โหลดหรือคัดลอกบล็อกคีย์สาธารณะโดยใช้ลิงก์ การเข้ารหัส ที่ https://www.kraken.com/.well-known/security.txt (ดาวน์โหลดไฟล์ https://www.kraken.com/.well-known/pgp-key.txt หรือคัดลอกข้อความที่ขึ้นต้นด้วย -----BEGIN PGP PUBLIC KEY BLOCK-----)
• เปิด PGP หรือ GPG ที่คุณใช้งานอยู่ (เช่น GnuPG ผ่านคอมมานด์ไลน์ หรือ OpenPGP Key Manager ของ Thunderbird หรือ GNOME Seahorse / “รหัสผ่านและกุญแจ”)
• ใช้ฟีเจอร์ “นำเข้าคีย์” เพื่อเพิ่มคีย์เข้าสู่ที่เก็บกุญแจของคุณ
• (ไม่บังคับ) ตรวจสอบลายนิ้วมือของคีย์กับเราเพื่อยืนยันความถูกต้อง

• 26 รายงานที่ได้รับรางวัลปีที่แล้ว
• 434 รายงานที่ส่งเข้ามาปีที่แล้ว
• $3962 ค่าเฉลี่ยการจ่ายปีที่แล้ว

ด้านล่างนี้คือรายชื่อนักวิจัยบางส่วนที่เคยได้รับรางวัลจากโปรแกรม Bug Bounty ของ Kraken

ขั้นวิกฤต

ระดับความรุนแรงขั้นวิกฤตส่งผลให้เกิดความเสี่ยงโดยตรงและทันทีต่อผู้ใช้งานจำนวนมาก หรือส่งผลกระทบต่อ Kraken โดยตรง โดยมักกระทบกับองค์ประกอบระดับต่ำหรือระดับพื้นฐานของระบบ ชุดเทคโนโลยีของแอปพลิเคชัน หรือโครงสร้างพื้นฐาน ตัวอย่าง เช่น

• การรันโค้ดหรือคำสั่งใดๆ ได้โดยพลการบนเซิร์ฟเวอร์ในเครือข่ายที่ใช้งานจริงของเรา
• การสั่งคำสั่งบนฐานข้อมูลที่ใช้งานจริงได้โดยพลการ
• การข้ามขั้นตอนการเข้าสู่ระบบ ไม่ว่าจะเป็นรหัสผ่านหรือ 2FA
• การเข้าถึงข้อมูลผู้ใช้ที่มีความอ่อนไหวในระบบใช้งานจริง หรือเข้าถึงระบบภายในที่ใช้งานจริง

สูง

ระดับความรุนแรงสูงเปิดโอกาสให้ผู้โจมตีสามารถอ่านหรือแก้ไขข้อมูลที่มีความอ่อนไหวสูงซึ่งตนไม่มีสิทธิ์เข้าถึงได้ โดยทั่วไปจะมีขอบเขตแคบกว่าขั้นวิกฤต แต่ยังอาจทำให้ผู้โจมตีเข้าถึงระบบได้ในวงกว้าง ตัวอย่าง เช่น

• ช่องโหว่ XSS ที่สามารถหลีกเลี่ยง CSP ได้
• การพบข้อมูลผู้ใช้ที่มีความอ่อนไหวในทรัพยากรที่เปิดเผยต่อสาธารณะ
• การเข้าถึงที่ไม่ใช่ขั้นวิกฤต ซึ่งเป็นระบบที่บัญชีผู้ใช้ทั่วไปไม่ควรมีสิทธิ์เข้าถึง

กลาง

ระดับความรุนแรงปานกลางเปิดโอกาสให้ผู้โจมตีสามารถอ่านหรือแก้ไขข้อมูลได้ในขอบเขตจำกัดซึ่งตนไม่มีสิทธิ์เข้าถึงได้ โดยข้อมูลที่เข้าถึงได้จะมีความอ่อนไหวน้อยกว่าระดับความรุนแรงสูง ตัวอย่าง เช่น

• การเปิดเผยข้อมูลที่ไม่อ่อนไหวจากระบบที่ใช้งานจริง ที่ผู้ใช้ไม่ควรเข้าถึง
• ช่องโหว่ XSS ที่ไม่สามารถหลีกเลี่ยง CSP หรือไม่สามารถดำเนินการที่มีความอ่อนไหวในเซสชันของผู้ใช้อื่นได้
• ช่องโหว่ CSRF สำหรับการกระทำที่มีความเสี่ยงต่ำ

ต่ำ

ระดับความรุนแรงต่ำเปิดโอกาสให้ผู้โจมตีเข้าถึงข้อมูลได้ในปริมาณที่จำกัดมาก อาจเป็นการทำงานที่ไม่เป็นไปตามที่คาดหวัง แต่แทบไม่ก่อให้เกิดการยกระดับสิทธิ์ หรือเปิดโอกาสให้ผู้โจมตีสามารถกระตุ้นพฤติกรรมที่ไม่พึงประสงค์ได้ ตัวอย่าง เช่น

• การกระตุ้นให้เกิดหน้าข้อผิดพลาดสำหรับการดีบัก โดยไม่มีหลักฐานว่าสามารถนำไปโจมตีหรือเข้าถึงข้อมูลอ่อนไหวได้

กรณีที่ไม่เข้าเกณฑ์

รายงานที่จะไม่ได้รับการพิจารณาและไม่มีสิทธิ์รับรางวัล ได้แก่

• ช่องโหว่บนเว็บไซต์ของบุคคลที่สาม (เช่น support.kraken.com) เว้นแต่จะเชื่อมโยงไปสู่ช่องโหว่บนเว็บไซต์หลัก ช่องโหว่หรือบั๊กบน Kraken บล็อก (blog.kraken.com)
• ช่องโหว่ที่ต้องอาศัยการโจมตีทางกายภาพ การหลอกลวงทางสังคม สแปม หรือการโจมตีแบบ DDoS
• ช่องโหว่ที่เกิดจากเบราว์เซอร์ที่ล้าสมัยหรือไม่ได้รับการอัปเดต
• ช่องโหว่ในแอปพลิเคชันของบุคคลที่สามที่ใช้ API ของ Kraken
• ช่องโหว่ในไลบรารีหรือเทคโนโลยีของบุคคลที่สามถูกใช้งานในผลิตภัณฑ์ บริการ หรือโครงสร้างพื้นฐานของ Kraken ซึ่งถูกเปิดเผยสู่สาธารณะแล้วไม่ถึง 30 วันนับจากวันที่เปิดเผยประเด็นนั้น
• ช่องโหว่ที่ถูกเปิดเผยต่อสาธารณะก่อนที่ Kraken จะแก้ไขอย่างเป็นทางการ
• ช่องโหว่ที่เราทราบอยู่แล้ว หรือมีผู้รายงานมาก่อน (รางวัลจะมอบให้ผู้รายงานคนแรก)
• ประเด็นที่ไม่สามารถทำซ้ำได้
• ช่องโหว่ที่ต้องอาศัยพฤติกรรมผู้ใช้ในระดับที่ไม่สมเหตุสมผล
• ช่องโหว่ที่ต้องอาศัยการ Root หรือ Jailbreak บนมือถือ
• การขาดส่วนหัวการรักษาความปลอดภัย โดยไม่มีหลักฐานว่าสามารถนำไปโจมตีได้จริง
• ชุดรหัสเข้ารหัส TLS ที่รองรับ
• ข้อเสนอแนะเกี่ยวกับแนวปฏิบัติที่ดี
• การเปิดเผยเวอร์ชันของซอฟต์แวร์
• รายงานใดๆ ที่ไม่มี คู่มือแบบละเอียดทีละขั้นตอน และ ไม่ได้แนบการวิเคราะห์ความเป็นไปได้ (PoC) ในการใช้ประโยชน์จากช่องโหว่มาด้วย
• ประเด็นที่เราไม่สามารถดำเนินการแก้ไขได้อย่างสมเหตุสมผล เช่น ปัญหาที่เกิดจากข้อกำหนดทางเทคนิคซึ่ง Kraken จำเป็นต้องปฏิบัติตามเพื่อให้เป็นไปตามมาตรฐานนั้น ๆ
• ผลลัพธ์จากเครื่องมือสแกนอัตโนมัติ หรือรายงานที่สร้างจาก AI
• ประเด็นที่ไม่มีผลกระทบด้านความปลอดภัย

ประเด็นที่ไม่เกี่ยวข้องกับความปลอดภัย

คุณสามารถแจ้งประเด็นที่ไม่เกี่ยวข้องกับความปลอดภัยได้ที่ https://support.kraken.com