Kraken 堅信,安全專業人士和開發者在協助保護我們的產品和使用者安全方面發揮了重要的作用。透過我們的漏洞報告獎勵計劃,Kraken 建立並鼓勵協調漏洞披露 (CVD)。漏洞報告獎勵計劃可以幫助保護數位貨幣市場中的客戶,從而踐行 Kraken 的使命。
查找 Kraken 系統中的漏洞,即表示你同意對所有資料、漏洞資訊、你的研究以及與 Kraken 的通信進行嚴格保密,直至 Kraken 解決問題並授予披露許可。
如果符合本政策的要求,對於按照所有公佈的 Kraken 漏洞報告獎勵政策進行的安全研究(包括出於善意的意外違規行為),Kraken 同意不會提起法律訴訟。
請盡可能創建測試帳戶,以避免故意侵犯隱私。如果你遇到帳戶的個人身份資訊(「PII」)或其他敏感性資料,而你並未獲得帳戶所有者的明確書面同意將這些資訊或資料用於驗證你的研究結果,請立即停止訪問這些資料,並將問題報告給 Kraken,同時附上 PII 或其他敏感性資料的描述,而不是資料本身。
根據資料保護法規和我們的隱私政策,你必須:
提交的漏洞報告獎勵絕不能包含威脅或任何敲詐勒索的企圖。我們願意為合法的研究結果支付獎勵,但勒索要求不符合支付報酬的條件。例如,在滿足其他要求之前,不發佈有關漏洞的資訊或以其他方式阻礙漏洞的解決將被視為勒索要求。我們可能會根據法律要求或自願決定報告任何含有勒索要求的提交的漏洞報告獎勵。
我們認為,根據《電腦欺詐與濫用法》(CFAA)、《數位千年版權法》(DMCA) 以及適用的反駭客法律(例如,《加州刑法典》第 503(c) 條),符合本政策要求的活動可被視為「經授權」的行為。對於研究人員規避我們保護漏洞報告獎勵計劃範圍內應用程式所用技術措施的情況,我們不會對其提起訴訟。但是,遵循本政策並不意味著 Kraken 或任何其他個人、組織或政府可以給予國際法律豁免權。個體安全研究人員有責任瞭解並遵守所有適用的反駭客、資料和隱私以及出口管制方面的本地和國際法律。如果第三方對你提起法律訴訟,而你已遵守本政策中的條款,Kraken 將告知相關執法機構或民事原告,據我們所知,你已依照並遵守本計劃的條款和條件開展研究活動。
每名研究人員在從事可能不符合本政策或本政策未涉及的行為之前均需向我們提交一份通知。我們歡迎大家對政策說明提出各種建議,以幫助研究人員滿懷信心地開展研究和報告工作。
所有提交的獎勵均由 Kraken 評級,並根據漏洞評級支付報酬。所有支付的報酬均以 BTC 為單位記入你經過驗證的 Kraken 帳戶,並被定義為指導原則,且可能會發生變化。
透過以下步驟提交漏洞報告獎勵:
1.將報告提交到漏洞報告獎勵郵箱
2.Kraken 安全部門確認提交內容(SLA 1 個工作日)
3.Kraken 安全部門對提交內容進行分類(SLA 10 個工作日)
4.Kraken 安全部門發送回應和決定,如果被視為漏洞,通知將包括嚴重程度和獎勵金額(我們將要求提供 BTC 地址)
5.對於安全性漏洞,Kraken 將發送獎勵(SLA 14 個工作日)
如果你想對漏洞報告獎勵的提交進行加密來增加安全性,可以使用我們的 PGP 公鑰。將公鑰導入你的 PGP 用戶端,加密你的報告,然後將其發送至 [email protected]。我們也接受未加密的提交。 如何導入我們的 PGP 公鑰(可選/額外安全保障):
| 支出標準 | 嚴重程度 | 範圍 |
|---|---|---|
| 低危 | $500-$1000 | |
| 中危 | $2500-$5000 | |
| 高危 | $20,000-$50,000 | |
| 危重 | $100,000-$1,500,000 |
下面是一些曾經透過 Kraken 的漏洞報告獎勵計劃獲得獎勵的研究人員。
危急
危重問題會給我們的廣大使用者或 Kraken 自身帶來直接的即時風險。通常會影響我們的應用程式棧或基礎設施中相對較低級/基礎的元件。例如:
高
高危問題允許攻擊者讀取或修改其無權訪問的高度敏感性資料。與危重問題相比,高危問題的範圍通常更窄,但此類問題仍然可能給予攻擊者廣泛的存取權限。例如:
中
中危問題允許攻擊者讀取或修改他們未獲授權訪問的有限資料。與高危問題相比,中危問題通常允許訪問的敏感資訊較少。例如:
低
低危問題允許攻擊者訪問極其有限的資料。它們可能會違反人們對某項工作方式的預期,但幾乎不允許許可權升級,也無法觸發攻擊者的意外行為。例如:
我們不感興趣且不符合獎勵資格的報告包括:
你可以通過 https://support.kraken.com 向我們報告非安全性問題。