• Kraken, Ödül Avcılığı programımız aracılığıyla güvenlik açıklarının sorumlu bir şekilde açıklanmasını teşvik eder.
• Araştırmacılar yazılı politikayı takip etmelidir. Bu politika, müzakere edilebilir değildir.
• Ana kurallar:
  • İyi niyetle hareket edin ve politika ihlallerinden kaçının.
  • Bir güvenlik açığını kanıtlamak için gerekenden fazlasını yapmayın. 
  • Tehdit etmeyin veya fidye taleplerinde bulunmayın.
  • Talimatlar ve kavram kanıtı istismarları da dahil olmak üzere güvenlik açıklarını keşfedildikten ve doğrulandıktan sonra en kısa sürede bildirin.
• Araştırmacılar yürürlükteki tüm yasalara uymakla yükümlüdürler.
• Politikamızı bozmaya veya ihlal etmeye yönelik girişimler, bu programa katılma hakkınızın anında kaybedilmesiyle sonuçlanacaktır. Tehditler veya gasp girişimleri kolluk kuvvetlerine bildirilebilir.
• Emin olmadığınız bir konu varsa, açıklama için [email protected] adresine bildirin.

Kraken, ürünlerimizi ve kullanıcılarımızı güvende tutmaya yardımcı olan güvenlik profesyonellerinin ve geliştiricilerinin değerine güçlü bir şekilde inanıyor. Kraken, Ödül Avcılığı Programımız aracılığıyla koordineli güvenlik açığı açıklamasını (CVD) kurdu ve teşvik etti. Ödül Avcılığı programı, dijital para piyasasındaki müşterileri korumaya yardımcı olarak Kraken misyonuna hizmet ediyor.

Kraken sistemlerindeki hataları arayarak, Kraken sorunu ele alıp açıklama izni verene kadar tüm verileri, güvenlik açıklarıyla ilgili bilgileri, araştırmalarınızı ve Kraken ile olan iletişimlerinizi kesinlikle gizli tutmayı kabul etmiş olursunuz. 

Bu Politikanın gereksinimlerine uyulduğu takdirde Kraken, iyi niyet, kazara ihlaller de dahil olmak üzere tüm Kraken Ödül Avcılığı politikalarını takiben yapılan güvenlik araştırması için yasal işlem başlatmamayı kabul eder. 

Lütfen mümkün olduğunda test hesapları oluşturarak kasıtlı gizlilik ihlallerinden kaçının. Bulgularınızı doğrulamak için kullanmak üzere hesap sahibinin açık yazılı iznine sahip olmadığınız hesaplar için kişisel olarak tanımlanabilir bilgiler ('PII') veya diğer hassas verilerle karşılaşırsanız lütfen bu verilere derhal erişmeyi bırakın ve sorunu Kraken'a verilerin kendisini değil, PII açıklamasını veya diğer hassas verileri aktararak bildirin.

Veri koruma düzenlemeleri ve gizlilik politikalarımız doğrultusunda şunları yapmalısınız:

• Başka müşterilerin kişisel olarak tanımlanabilir bilgilerini ('PII') saklamayın veya iletmeyin. Herhangi bir müşteri kişisel olarak tanımlanabilir bilgisini ('PII') ele geçirmeniz durumunda, anında Kraken'a bildirin ve ardından size ait olmayan tüm kişisel olarak tanımlanabilir bilgilerin kopyalarını imha edin. 
• Araştırmanız sırasında veri toplamayı ve erişimini en aza indirin. Yalnızca güvenlik açığını göstermek ve raporlamak için kesinlikle gerekli olan bilgileri toplayın ve saklayın. 
• Rapor gönderildikten ve Kraken raporu aldığını onayladıktan sonra toplanan tüm verileri anında ve güvenli bir şekilde silin.
• Kraken'ın açık yazılı izni olmadan hiçbir güvenlik açığını veya ilgili bilgiyi üçüncü taraflarla paylaşmayın. Buna sosyal medya, diğer şirketler veya basın dahildir ancak bunlarla sınırlı değildir.
• Güvenlik açığı yerine bir veri ihlali veya bir veri havuzunun yerini bildiriyorsanız lütfen verilerin konumunu sağlayın ve daha fazla erişmeyin veya verilerin konumunu başkalarıyla paylaşmayın.

Bir ödül avcılığı gönderimi hiçbir zaman tehdit veya gasp girişimlerini içermemelidir. Meşru bulgular için ödül vermeye açığız ancak fidye talepleri ödeme için uygun değildir. Örneğin, güvenlik açığı hakkında bilgi vermemek veya diğer talepler karşılanana kadar güvenlik açığının çözülebilmesini başka bir şekilde engellemek fidye talebi olarak değerlendirilecektir. Fidye talepleri içeren herhangi bir ödül avcılığı gönderimini yasa gereği veya gönüllü olarak yetkililere bildirmemiz gerekebilir. 

Bu politikaya uygun olarak yürütülen faaliyetlerin Bilgisayar Sahtekarlığı ve Suistimal Yasası (CFAA), Dijital Milenyum Telif Hakkı Yasası (DMCA) ve Kaliforniya Ceza Kanunu 503(c) gibi geçerli bilgisayar korsanlığı karşıtı yasalar kapsamında "yetkili" davranış teşkil ettiğine inanıyoruz. Ödül Avcılığı Programı kapsamındaki uygulamaları korumak için kullandığımız teknolojik önlemleri atlattıkları için araştırmacılara karşı bir talepte bulunmayacağız. Ancak, bu politikanın izlenmesi, Kraken'in veya başka bir bireysel kuruluşun veya hükümetin küresel yasalardan dokunulmazlık sağlayabileceği anlamına gelmez. Korsanlıkla mücadele, veri ve gizlilik ve ihracat kontrolleri ile ilgili tüm geçerli yerel ve uluslararası yasaları anlamak ve bunlara uymak bireysel güvenlik araştırmacılarının sorumluluğundadır. Üçüncü bir taraf size karşı yasal işlem başlatırsa ve bu politikadaki şartlara uyuyorsanız Kraken ilgili kolluk kuvvetlerine veya sivil davacılara araştırma faaliyetlerinizin, bildiğimiz kadarıyla, bu programın şartlar ve koşullarına uygun olarak yürütüldüğünü bildirecektir.

Her araştırmacının bu politikayla tutarsız olabilecek veya bu politika tarafından ele alınmayan davranışlarda bulunmadan önce bize bir bildirimde bulunması gerekmektedir. Araştırmacıların araştırmalarını ve raporlamalarını güvenle yürütmelerine yardımcı olacak politika açıklamalarına yönelik önerileri memnuniyetle karşılıyoruz.

Tüm ödül gönderimleri Kraken tarafından derecelendirilir ve güvenlik açığı derecesine göre ödenir. Tüm ödemeler doğrulanmış Kraken hesabınıza BTC olarak yapılacaktır, bir kılavuz olarak tanımlanacak ve değişikliğe tabi olacaktır.

• Tüm hata raporları bu programın tek resmi iletişim adresi olan [email protected] adresine gönderilmelidir. Lütfen güvenlik açığı ayrıntılarını göndermek için harici siteleri kullanmayın. Herhangi bir harici site veya portal resmi değildir ve Kraken tarafından onaylanmamıştır.
• Ödül Avcılığı ödemelerini almak için:
  • Orta düzeyde kayıt yaptırın. Bkz.: Hesap Oluşturma- https://www.kraken.com/sign-up
  • AKTİF bir hesap oluşturun
  • Doğrulama için belgeler sağlayın. Aynı zamanda bkz.: https://support.kraken.com/hc/en-us/articles/360000672203-Document-requirements-for-verification
• Güvenlik açığı bilgileri karşılığında ödeme veya başka bir talepte bulunulması, ödül ödemelerinin anında kaybedilmesiyle sonuçlanacaktır. Güvenlik açığı bilgilerinin paylaşılmaması, ödül ödemelerinin anında kaybedilmesiyle sonuçlanacaktır.
• Güvenlik açığını yeniden oluşturmak için ayrıntılı talimatlar ve Kavram Kanıtı sağlayın. 
• Bulgularınızı çoğaltamazsak raporunuz ödeme için uygun olmayacaktır. Bir güvenlik açığını kanıtlamak için yalnızca gerekli olan bilgileri kullanın ve elde edilen tüm varlıkları anında iade edin.
• Güvenlik açıklarının diğer kişilerle paylaşılması yasaktır.
• Bu politikada belirtilen prosedürleri atlatmaya yönelik herhangi bir girişim, ödül ödemelerinin anında kaybedilmesiyle sonuçlanacaktır. 
• Ödeme için Bitcoin (BTC) adresinizi ekleyin. Tüm ödüller Bitcoin olarak verilecektir.
• Ödeme minimumları aşağıda belirtilmiştir. Tüm ödemeler Kraken'ın takdirine bağlı olarak değiştirilebilir.
• Minimum ödeme 500 ABD doları eş değeri Bitcoin'dir (BTC).

Bir Ödül Avcılığı gönderiminin işlenmesi için aşağıdaki adımlar izlenir:

1. Rapor, ödül avcılığı posta kutusuna gönderilir

2. Kraken güvenlik ekibi gönderimi onaylar (SLA 1 İş Günü)

3. Kraken güvenlik ekibi gönderimi sınıflandırır (SLA 10 İş Günü)

4. Kraken güvenlik ekibi, bir güvenlik açığı tespit edildiğinde kararlılıkla yanıt verir. Bildirimde güvenlik açığının önem derecesi ve ödül miktarı belirtilir (BTC adresi talep edilir)

5. Güvenlik açıkları için Kraken ödül gönderecektir (SLA 14 İş Günü)

Ek güvenlik için ödül avcılığı gönderiminizi şifrelemek isterseniz, PGP genel anahtarımızı kullanabilirsiniz. Anahtarı PGP istemcinize aktarın, raporunuzu şifreleyin ve ardından [email protected] adresine gönderin. Şifreleme olmadan yapılan gönderimler de kabul edilmektedir. PGP genel anahtarımızı nasıl içe aktarabilirsiniz (isteğe bağlı / ekstra güvenlik):

• https://www.kraken.com/.well-known/security.txt adresindeki Şifreleme bağlantısını kullanarak genel anahtar bloğunu indirin veya kopyalayın (https://www.kraken.com/.well-known/pgp-key.txt dosyasını indirin veya yalnızca -----BEGIN PGP PUBLIC KEY BLOCK----- ile başlayan metni kopyalayın)
• PGP veya GPG istemcinizi açın (örneğin, komut satırında GnuPG, Thunderbird'ün OpenPGP Anahtar Yöneticisi veya GNOME Seahorse / "Şifreler ve Anahtarlar").
• Anahtarlığınıza anahtarı eklemek için istemcinin "Anahtarı içe aktar" özelliğini kullanın.
• (İsteğe bağlı) Anahtarın gerçekliğini garanti altına almak için parmak izini bizimle doğrulayın.

• 26 rapor geçen yıl ödüllendirildi
• 434 rapor geçen yıl gönderildi
• 3962 ABD doları geçen yıl ortalama ödeme

Daha önce Kraken'in Bug Bounty programı ile ödüllendirilen araştırmacılardan bazılarına bakın.

Kritik

Kritik önemdeki sorunlar, kullanıcılarımızın geniş bir yelpazesi veya Kraken'in kendisi için doğrudan ve acil bir risk oluşturmaktadır. Bunlar genellikle uygulama yığınlarımızdan veya altyapımızdan birinde nispeten düşük seviyeli/temel bileşenleri etkiler. Örneğin:

• üretim ağımızdaki bir sunucuda rastgele kod / komut yürütme.
• bir üretim veri tabanında rastgele sorgular.
• şifre veya 2FA ile oturum açma sürecimizi atlama.
• hassas üretim kullanıcı verilerine erişim veya dahili üretim sistemlerine erişim.

Yüksek

Yüksek önem derecesine sahip sorunlar, bir saldırganın erişim yetkisi olmayan son derece hassas verileri okumasına veya değiştirmesine olanak tanır. Genellikle kritik sorunlara göre daha dar kapsamlıdırlar ancak yine de bir saldırgana kapsamlı erişim sağlayabilirler. Örneğin:

• CSP'yi atlayan XSS
• Kamuya açık bir kaynakta hassas kullanıcı verilerini bulma
• Son kullanıcı hesabının erişemeyeceği kritik olmayan bir sisteme erişim sağlama

Orta

Orta önem derecesindeki sorunlar, bir saldırganın erişim yetkisi olmayan sınırlı miktarda veriyi okumasına veya değiştirmesine olanak tanır. Genellikle yüksek önem taşıyan konulara göre daha az hassas bilgilere erişim sağlarlar. Örneğin:

• Kullanıcının erişemeyeceği bir üretim sisteminden hassas olmayan bilgilerin açıklanması
• CSP'yi atlamayan veya başka bir kullanıcının oturumunda hassas eylemleri yürütmeyen XSS
• Düşük riskli eylemler için CSRF

Düşük

Düşük önem dereceli sorunlar bir saldırganın son derece sınırlı miktarda veriye erişmesine olanak tanır. Bir şeyin nasıl çalışması gerektiğine ilişkin bir beklentiyi ihlal edebilirler ancak neredeyse hiçbir ayrıcalık artışına veya bir saldırgan tarafından istenmeyen davranışları tetikleme yeteneğine izin vermezler. Örneğin:

• Kullanılabilirlik kanıtı olmadan veya hassas bilgiler elde etmeden ayrıntılı veya hata ayıklama hata sayfalarını tetikleme.

Uygunsuzluk

İlgi duymadığımız ve ödül almaya uygun olmayan raporlar şunlardır:

• Üçüncü taraflarca barındırılan sitelerdeki güvenlik açıkları (support.kraken.com vb.), ana web sitesinde bir güvenlik açığına yol açmadıkça. Kraken blogundaki güvenlik açıkları ve hatalar (blog.kraken.com).
• Fiziksel saldırı, sosyal mühendislik, spam, DDOS saldırısı vb. durumlara bağlı güvenlik açıkları.
• Eski veya yamalanmamış tarayıcıları etkileyen güvenlik açıkları.
• Kraken API'sini kullanan üçüncü taraf uygulamalardaki güvenlik açıkları.
• Üçüncü taraf kütüphanelerinde veya Kraken ürünlerinde, hizmetlerinde veya altyapısında kullanılan teknolojide, sorunun kamuya açıklanmasından sonraki 30 günden daha önce kamuya açıklanan güvenlik açıkları.
• Kraken'in kapsamlı bir düzeltme yayınlamasından önce kamuya açıklanan güvenlik açıkları.
• Bizim tarafımızdan zaten bilinen veya başka biri tarafından bildirilen güvenlik açıkları (ödül ilk bildirene gider).
• Tekrarlanamayan konular.
• Olası olmayan düzeyde bir kullanıcı etkileşimi gerektiren güvenlik açıkları.
• Mobil cihazlarda root/jailbreak gerektiren güvenlik açıkları.
• Kullanılabilirlik kanıtı olmadan eksik güvenlik başlıkları.
• Sunulan TLS Şifre Paketleri.
• En iyi uygulamalar hakkında öneriler.
• Yazılım sürümü açıklaması.
• Ayrıntılı adım adım talimatlar ve buna eşlik eden bir kavram kanıtı istismarı içermeyen herhangi bir rapor.
• Kraken'in bu standartlara uymak için uygulaması gereken teknik şartnamelerdeki sorunlar gibi, makul olarak bir şey yapmamız beklenemeyecek konular.
• Otomatik araçlardan/tarayıcılardan gelen çıktılar veya yapay zeka tarafından oluşturulan raporlar.
• Herhangi bir güvenlik etkisi olmayan sorunlar.

Güvenlik dışı sorunlar

Güvenlik dışı sorunları https://support.kraken.com adresinden bize bildirebilirsiniz.