A Bug Bounty program áttekintése
- A Kraken a Bug Bounty program keretein belül támogatja a biztonsági sebezhetőségek felelős közzétételét.
- A kutatóknak az írott szabályzatot kell követniük. A szabályzat nem alku tárgya.
- A legfontosabb szabályok:
- Jóhiszeműen járj el, és kerüld a szabálysértéseket.
- Ne tegyél a szükségesnél többet egy sebezhetőség bizonyításához.
- Ne tegyél fenyegetéseket, ne követelj váltságdíjat.
- Jelentsd a sebezhetőségeket – utasításokkal és a működőképességet bizonyító kiaknázási móddal – amint felfedezted és igazoltad őket.
- A vonatkozó törvényeknek való megfelelés a kutatók felelőssége.
- A szabályaink megsértésére irányuló kísérletek azonnali kizárást jelentenek ebből a programból. A fenyegetéseket vagy a zsarolási kísérleteket továbbíthatjuk a hatóságoknak.
- Ha kérdésed van, írj a [email protected] e-mail-címre.
Szabályzat
A Kraken erősen hisz abban, hogy a biztonsági szakérték és fejlesztők értékes segítséget jelenthetnek a termékeink és felhasználóink biztonságának megvédésében. A Kraken lehetőséget hozott létre a koordinált sebezhetőségközlésre (CVD, coordinated vulnerability disclosure), és ösztönzi azt a Bug Bounty programon keresztül. A Bug Bounty program úgy támogatja a Kraken küldetését, hogy elősegíti az ügyfelek védelmét a digitális valutapiacon.
Azzal, hogy hibákat keresel a Kraken rendszereiben, beleegyezel abba, hogy minden adatot, a sebezhetőségekről szóló információkat, a kutatásodat és a Krakennel végzett kommunikációdat szigorúan titkosan kezeled, amíg a Kraken megoldja a problémát, és engedélyt ad neked a közzétételre.
Amennyiben betartod ennek a Szabályzatnak a követelményeit, a Kraken beleegyezik, hogy nem kezdeményez jogi keresetet az olyan biztonsági kutatásokkal kapcsolatban, amelyek követik a Kraken Bug Bounty szabályzatait, beleértve a jóhiszeműséget és a véletlen szabálysértéseket.
Amennyiben lehetséges, kerüld a szabályzatok tesztfiókokkal való létrehozásának megsértését. Amennyiben személyazonosításra alkalmas adatokra („PII”) bukkansz, vagy egyéb bizalmas adatokat találsz olyan fiókokról, amelyek esetében nem rendelkezel a fióktulajdonos írásbeli engedélyével, hogy a fiókot az eredményeid igazolására használd, szüntesd meg azonnal az ezen adatokhoz való hozzáférést, és jelentsd a problémát a Krakennek. Csak a személyazonosításra alkalmas vagy egyéb bizalmas adatok leírását továbbítsd, magukat az adatokat ne.
Az adatvédelmi irányelveknek és az adatvédelmi szabályzatainknak megfelelően:
- Ne továbbítsd vagy tárold más ügyfelek személyazonosításra alkalmas adatait. Ha rögzíted egy ügyfél személyazonosításra alkalmas adatait, azonnal jelentsd ezt a Krakennek, majd a nem hozzád tartozó személyazonosításra alkalmas adatok összes példányát semmisítsd meg.
- Minimalizáld az adatgyűjtést és az adatokhoz való hozzáférést a kutatás során. Csak olyan adatokat gyűjts és tárolj, amelyek elengedhetetlenek a sebezhetőség bemutatásához és jelentéséhez.
- A jelentés beküldése után, amint a Kraken visszaigazolta ezek fogadását, azonnal és biztonságosan töröld az összes begyűjtött adatot.
- Ne közöld a sebezhetőségeket vagy az azokhoz kapcsolódó információkat harmadik felekkel a Kraken kifejezett írásbeli beleegyezése nélkül. Ez többek között magában foglalja a közösségi médiát, egyéb feleket vagy a sajtót is.
- Ha nem biztonsági sebezhetőséget jelentesz, hanem egy adatvédelmi incidenst vagy egy adattár helyét, add meg az adatok helyét, és ne férj hozzájuk tovább, és ne oszd meg másokkal az adatok helyét.
A Bug Bounty-beküldések soha nem tartalmazhatnak fenyegetéseket vagy zsarolási kísérleteket. Nyitottak vagyunk arra, hogy díjat fizessünk a törvényesen talált problémákért, a zsarolási követelések azonban nem jogosultak a kifizetésre. Például: zsarolási követelésnek tekinthető, ha nem adod meg a sebezhetőségre vonatkozó információkat, vagy egyéb módon hátráltatod a képességünket a sebezhetőség megoldására, amíg nem teljesítjük más követeléseidet. Előfordulhat, hogy a zsarolási követeléseket tartalmazó Bug Bounty-beküldéseket jelentenünk kell a hatóságoknak, vagy önként is határozhatunk erről.
Véleményünk szerint a jelen szabályzatnak megfelelő tevékenységek „engedélyezett” viselkedésnek tekinthetők a Computer Fraud and Abuse Act (CFAA), a Digital Millennium Copyright Act (DMCA), valamint a vonatkozó hackelésellenes törvények, úgy mint a kaliforniai btk. 503(c) pontja szerint. A Bug Bounty program keretében nem nyújtunk be keresetet a kutatók ellen azon technológiai intézkedések megkerüléséért, amelyeket az alkalmazások védelme érdekében vezettünk be. A szabályzat betartása azonban nem jelenti azt, hogy a Kraken vagy egy különálló szervezet vagy kormányzat mentességet biztosít a globális törvények alól. Az egyes biztonsági kutatók felelőssége, hogy megértsék a hackelésellenes, adatokkal és adatvédelemmel, valamint az exportszabályozásokkal kapcsolatos helyi és nemzetközi törvényeket, valamint hogy megfeleljenek ezeknek. Ha egy harmadik fél keresetet indít ellened, és te követted az ebben a szabályzatban megadott feltételeket, a Kraken tájékoztatja az illetékes bűnüldözési hatóságokat vagy a polgári felperest, hogy a kutatási tevékenységedet a legjobb tudásunknak megfelelően a program feltételei szerint és azoknak megfelelően végezted.
Minden kutatónak értesítenie kell bennünket, mielőtt olyan tevékenységet végez, amely nem felel meg ennek a szabályzatnak, vagy a szabályzat nem érinti azt. Szívesen fogadjuk a szabályzat egyértelműsítésével kapcsolatos javaslatokat, amelyek elősegítik, hogy a kutatók a kutatásaikat és az eredményeik jelentését magabiztosan végezhessék.
Jutalmak
A beküldött találatokat a Kraken kiértékeli, és a kifizetés a sebezhetőségi értékelés alapján történik. Minden kifizetést BTC-ben eszközölünk az igazolt Kraken-számládra; a beküldésekre az útmutatóink vonatkoznak, amelyek módosulhatnak.
- Minden hibabejelentést a [email protected] e-mail-címre, a program egyetlen hivatalos kapcsolattartási módjára kell beküldeni. Ne használj külső webhelyeket a sebezhetőségek adatainak beküldésére. Minden külső webhely vagy portál nem hivatalos, a Kraken azokat nem hagyta jóvá.
- A Bug Bounty-kifizetések megkapásához:
- Középhaladó szinten kell regisztrálnod. Lásd: Fiók létrehozása – https://www.kraken.com/sign-up
- AKTÍV fiókkal kell rendelkezned
- Adj meg hitelesítési dokumentumokat. Lásd még: https://support.kraken.com/hc/en-us/articles/360000672203-Document-requirements-for-verification
- Ha fizetést vagy egyéb említést kérsz tőlünk a sebezhetőség részleteinek közléséért cserébe, azonnal megszűnik a jogosultságod a kifizetésekre. Ha nem adod át a sebezhetőség részleteit, szintén azonnal megszűnik a jogosultságod a kifizetésekre.
- Adj meg részletes utasításokat a sebezhetőség reprodukálásához, valamint a működőképesség igazolását.
- Ha nem tudjuk reprodukálni az általad találtakat, a bejelentésed nem lesz jogosult kifizetésre. Csak olyan mértékben használd ki a hibát, amely a biztonsági sebezhetőség bizonyításához szükséges, és azonnal térítsd vissza az esetlegesen kinyert erőforrásokat.
- Tilos más személyekkel közölni a sebezhetőségeket.
- A szabályzatban lefektetett eljárások megkerülésének bármilyen nemű kísérlete esetén azonnal elveszíted a jogosultságod a kifizetésekre.
- Add meg a kifizetéshez Bitcoin (BTC) címedet. Minden jutalmat Bitcoinban fizetünk ki.
- A fizetési minimumokat alább olvashatod. Minden kifizetés a Kraken saját belátása szerint módosítható.
- A minimális kifizetés 500 USD értékű Bitcoin (BTC).
Beküldési folyamat
A Bug Bounty-beküldések feldolgozásának a következők a lépései:
1. Beküldik a jelentést a Bug Bounty levelezőfiókjára
2. A Kraken biztonsági osztálya nyugtázza a beküldést (SLA 1 munkanap)
3. A Kraken biztonsági osztálya teszteli a beküldést (SLA 10 munkanap)
4. A Kraken biztonsági osztálya választ küld a megállapításairól; ha sebezhetőségnek tekintjük a beküldést, az értesítés tartalmazza a súlyossági szintet és a jutalom mértékét (BTC-címet fogunk kérni)
5. A biztonsági sebezhetőségek esetén a Kraken elküldi a jutalmat (SLA 14 munkanap)
Ha a fokozott biztonság érdekében titkosítani szeretnéd a Bug Bounty-beküldésedet, használhatod a PGP nyilvános kulcsunkat. Importáld a kulcsot a PGP kliensbe, titkosítsd a jelentésed, majd küldd el a [email protected] e-mail-címre. A titkosítás nélküli beküldéseket is befogadjuk. PGP nyilvános kulcs importálása (opcionális/fokozza a védelmet):
- Töltsd le vagy másold ki a nyilvánoskulcs-blokkot a Titkosítás hivatkozás használatával itt: https://www.kraken.com/.well-known/security.txt (töltsd le a https://www.kraken.com/.well-known/pgp-key.txt fájlt, vagy csak másold ki a következővel kezdődő szöveget: -----BEGIN PGP PUBLIC KEY BLOCK-----)
- Nyisd meg a PGP- vagy GPG-kliensedet (pl. GnuPG a parancssorban, a Thunderbird OpenPGP kulcskezelője vagy a GNOME Seahorse / „Jelszavak és kulcsok”).
- Add hozzá a kulcsot a kulcskarikádhoz a kliens „Kulcs importálása ” funkciójával.
- (Opcionális) Ellenőrizd nálunk a kulcs ujjlenyomatát az eredetiség biztosításához.
| Kifizetés mértéke | Súlyosság | Tartomány |
|---|---|---|
| Alacsony súlyosság | 500–1000 USD | |
| Közepes súlyosság | 2500–5000 USD | |
| Magas súlyosság | 20 000–50 000 USD | |
| Kritikus súlyosság | 100 000–1 500 000 USD |
A program statisztikái
- 26 bejelentést jutalmaztunk meg az előző évben
- 434 jelentést kaptunk az előző évben
- 3962 USD-t fizettünk ki átlagosan az előző évben
Hírességek csarnoka
Alább olvashatsz néhány kutatóról, akiket korábban már megjutalmaztunk a Kraken Bug Bounty programján keresztül.
| Hírességek csarnoka | Kutató | Jutalmazott összeg |
|---|---|---|
| Újonnan beiktatottak | Devendra Hyalij - Twitter | 60 100 USD |
| Kitakart* | 50 500 USD | |
| UGWST - Twitter | 40 000 USD | |
| Kitakart* | 20 500 USD | |
| Kitakart* | $20,000 | |
| Kitakart* | $20,000 | |
| Kitakart* | 18 500 USD | |
| Md Al Nafis Aqil Haque | 11 000 USD | |
| Kitakart* | $10,000 | |
| Kitakart* | $10,000 | |
| Kitakart* | $10,000 | |
*A kutató nevét a kérésére titkoljuk |
Sebezhetőségi értékelések
Kritikus
A kritikus súlyosságú problémák közvetlen és azonnali veszélyt jelentenek ügyfeleink széles körére vagy magára a Krakenre. Gyakran viszonylag alacsony szintű/alapszintű összetevőket érintenek az egyik alkalmazásvermünkben vagy az infrastruktúránkban. Például:
- egy kód/parancs önkényes végrehajtása a működési hálózatunk egyik kiszolgálóján.
- önkényes lekérdezések egy működési adatbázison.
- bejelentkezési folyamat (jelszó vagy 2FA) megkerülése.
- bizalmas műveleti felhasználói adatokhoz vagy belső műveleti rendszerekhez való hozzáférés.
Legmagasabb
A magas súlyosságú problémák lehetővé teszik a támadó részére olyan erősen bizalmas adatok olvasását vagy módosítását, amelyekhez nincs hozzáférési engedélye. Ezek általában szűkebb hatókörűek, mint a kritikus problémák, azonban továbbra is széles körű hozzáférést adhatnak a támadó részére. Például:
- A CSP-t megkerülő XSS
- Bizalmas felhasználói adatok felfedezése egy nyilvánosan kitett forrásban
- Hozzáférés megszerzése egy nem kritikus rendszerhez, amelyhez egy végfelhasználói fióknak nem szabadna hozzáférnie
Közepes
A közepes súlyosságú problémák lehetővé teszik a támadó részére olyan adatok korlátozott mennyiségének olvasását vagy módosítását, amelyekhez nincs hozzáférési engedélye. Ezek általában kevésbé bizalmas adatokhoz biztosítanak hozzáférést, mint a magas súlyosságú problémák. Például:
- Nem bizalmas adatok közlése egy olyan működési rendszerből, amelyhez a felhasználónak nem szabadna hozzáférnie
- Olyan XSS, amely nem kerüli meg a CSP-t, vagy nem hajt végre érzékeny műveleteket egy másik felhasználó munkamenetében
- CSRF az alacsony kockázatú műveletekhez
Legalacsonyabb
Az alacsony súlyosságú problémák nagyon korlátozott mennyiségű adathoz biztosítanak hozzáférést a támadó részére. Előfordulhat, hogy megszegik valami célzott működésével kapcsolatos elvárásokat, de nem teszik lehetővé jogosultságok szinte bármilyen szintű eszkalációját, és nem adnak lehetőséget arra, hogy a támadó kéretlen viselkedést indítson el. Például:
- Részletes vagy hibakeresési oldalak megnyitása kiaknázhatóság bizonyítéka valamint bizalmas adatok megszerzése nélkül.
Jogosulatlanság
Például a következő típusú bejelentésekre nem tartunk igényt, és ezek nem jogosultak jutalmakra:
- Sebezhetőségek harmadik felek által működtetett webhelyeken (support.kraken.com stb.), kivéve, ha a fő webhely sebezhetőségére vezetnek. Sebezhetőségek és hibák a Kraken blogon (blog.kraken.com).
- Fizikai támadásra, érzelmi manipulációra, spamelésre DDOS-támadásokra stb. támaszkodó sebezhetőségek.
- Elavult vagy nem javított böngészőket érintő sebezhetőségek.
- Sebezhetőségek a Kraken API-ját használó harmadik fél alkalmazásokban.
- Olyan sebezhetőségek, amelyek nyilvánosan közlésre kerültek harmadik fél könyvtárakban vagy a Kraken termékeiben, szolgáltatásaiban vagy infrastruktúrájában használatos technológiákban a probléma nyilvános közlését követő kevesebb mint 30 napon belül.
- Olyan sebezhetőségek, amelyek nyilvánosan közzétételre kerültek, mielőtt a Kraken átfogó javítást biztosított rájuk.
- Az általunk már ismert vagy mások által jelentett sebezhetőségek (az első bejelentő kapja a jutalmat).
- A nem reprodukálható problémák.
- Valótlan szintű felhasználói interakciót igénylő sebezhetőségek.
- Mobileszköz rootolását/jailbreakelését igénylő sebezhetőségek.
- Hiányzó biztonsági fejlécek a kihasználhatóság bizonyítéka nélkül.
- Felkínált TLS titkosítócsomagok.
- Bevált gyakorlatokkal kapcsolatos javaslatok.
- Szoftververzióval kapcsolatos közlés.
- A részletes, lépéseket bemutató utasítások és ezekhez kapcsolódó működőképesség-igazolás nélküli bejelentések.
- Olyan problémák, amelyekkel kapcsolatban észszerűen nem elvárhat, hogy cselekedjünk, például olyan műszaki specifikációkkal kapcsolatos problémák, amelyeket a Krakennek be kell vezetnie az adott standardoknak való megfelelés érdekében.
- Automatizált eszközök/vizsgálók kimenete vagy AI által generált jelentések.
- Biztonsági hatás nélküli problémák.
Nem biztonsági problémák
A nem biztonsági problémákkal kapcsolatban itt tájékoztathatsz minket: https://support.kraken.com.