Kraken ist der festen Überzeugung, dass die Hilfe von Sicherheitsexperten und Entwicklern bei der Gewährleistung der Sicherheit unserer Produkte und Benutzer von großem Wert ist. Kraken hat ein Programm zur koordinierten Offenlegung von Sicherheitslücken (Coordinated Vulnerability Disclosure, CVD) eingerichtet und fördert dieses über sein Bug Bounty-Programm. Das Bug Bounty-Programm steht ganz im Rahmen der Mission von Kraken, Kunden auf dem digitalen Währungsmarkt zu schützen.
Wenn du nach Fehlern in Kraken Systemen suchst, verpflichtest du dich, alle Daten, Informationen zu Sicherheitslücken, deine Nachforschungen und die Kommunikation mit Kraken streng vertraulich zu behandeln, bis Kraken das Problem behoben und die Erlaubnis für die Veröffentlichung erteilt hat.
Wenn die Anforderungen dieser Richtlinie erfüllt sind, verpflichtet sich Kraken, keine rechtlichen Schritte gegen Sicherheitsforschung einzuleiten, die unter Beachtung aller veröffentlichten Richtlinien des Kraken Bug Bounty-Programms durchgeführt wird, einschließlich gutem Glauben und versehentlichen Verstößen.
Bitte vermeide vorsätzliche Datenschutzverletzungen, indem du nach Möglichkeit Testkonten verwendest. Solltest du auf personenbezogene Daten oder andere sensible Daten von Konten stoßen, für die du keine ausdrückliche schriftliche Zustimmung des Kontoinhabers zur Validierung deiner Ergebnisse hast, beende sofort den Zugriff auf diese Daten und melde das Problem an Kraken mit einer Beschreibung der PII oder anderer sensibler Daten, nicht der Daten selbst.
In Übereinstimmung mit den Datenschutzbestimmungen und unseren Datenschutzrichtlinien musst du Folgendes beachten:
- Du darfst keine personenbezogenen Daten anderer Kunden speichern oder übermitteln. Wenn du personenbezogene Daten eines Kunden erlangt hast, melde dies sofort Kraken und vernichte alle Kopien der Daten, die nicht dir gehören.
- Minimiere die Datenerfassung und den Datenzugriff während deiner Recherche. Sammle und speichere nur die Informationen, die für den Nachweis und die Meldung der Sicherheitslücke unbedingt erforderlich sind.
- Lösche alle gesammelten Daten sofort und sicher, nachdem du den Bericht eingereicht und Kraken den Erhalt bestätigt hat.
- Gib keine Sicherheitslücken oder damit verbundene Informationen ohne die ausdrückliche schriftliche Zustimmung von Kraken an Dritte weiter. Dazu gehören auch soziale Medien, andere Unternehmen und die Presse.
- Wenn du einen Datenverstoß oder den Standort eines Datenspeichers meldest, anstatt eine Sicherheitslücke, gib bitte den Standort der Daten an und greife nicht weiter darauf zu und gib den Standort der Daten nicht an andere weiter.
Eine Einreichung im Rahmen des Bug Bounty-Programms darf niemals Drohungen oder Erpressungsversuche enthalten. Wir sind offen für die Zahlung von Belohnungen für legitime Funde, Lösegeldforderungen sind jedoch nicht zur Zahlung berechtigt. So gilt es beispielsweise als Lösegeldforderung, wenn Informationen über die Sicherheitslücke nicht freigegeben oder die Behebung der Sicherheitslücke anderweitig behindert wird, bis andere Anforderungen erfüllt sind. Wir können gesetzlich verpflichtet sein oder uns freiwillig dazu entscheiden, jede Einreichung im Rahmen des Bug Bounty-Programms zu melden, die Lösegeldforderungen enthält.
Wir glauben, dass Aktivitäten, die im Einklang mit dieser Richtlinie durchgeführt werden, als „genehmigtes“ Verhalten im Sinne des Computer Fraud and Abuse Act (CFAA), des Digital Millennium Copyright Act (DMCA) und anwendbarer Anti-Hacking-Gesetze wie Cal. Penal Code 503(c) gelten. Wir werden keine Klagen gegen Entwickler erheben, die die technologischen Maßnahmen umgehen, die wir zum Schutz der Anwendungen im Rahmen des Bug Bounty-Programms eingesetzt haben. Das Befolgen dieser Richtlinie bedeutet jedoch nicht, dass Kraken oder eine andere einzelne Organisation oder Regierung Immunität gegenüber globalen Gesetzen gewähren kann. Es liegt in der Verantwortung der einzelnen Teilnehmer, alle geltenden lokalen und internationalen Gesetze in Bezug auf Anti-Hacking, Daten und Datenschutz sowie Exportkontrollen zu verstehen und einzuhalten. Wenn ein Dritter rechtliche Schritte gegen dich einleitet und du die Bedingungen dieser Richtlinie eingehalten hast, wird Kraken die zuständigen Strafverfolgungsbehörden oder zivilen Kläger darüber informieren, dass deine Forschungsaktivitäten nach bestem Wissen und Gewissen im Rahmen der Bedingungen dieses Programms durchgeführt wurden.
Es ist erforderlich, dass jeder Entwickler uns vor der Durchführung von Handlungen benachrichtigt, die mit dieser Richtlinie möglicherweise unvereinbar sind oder von dieser nicht abgedeckt werden. Wir freuen uns über Vorschläge zur Klärung der Richtlinie, die Entwicklern helfen, ihre Forschung und Berichterstattung vertrauensvoll durchzuführen.