보안 취약점 신고제

비트코인 받기 
보안 오류를 찾아보세요

가입하기
보안 취약점 신고제

비트코인 받기 
보안 오류를 찾아보세요

가입하기

보안 취약점 신고 프로그램 안내

  • Kraken은 보안 취약점 신고 프로그램을 통해 보안 취약점 신고를 장려합니다.
  • 조사자는 서면 정책을에따라야 합니다. 이 정책은 협상 대상이 아닙니다.
  • 핵심 규칙:
    • 신의성실 원칙에 따라 행동하며 정책을 위반하지 마세요.
    • 취약점 입증에 필요한 이상의 행동은 하지 마세요. 
    • 위협 또는 랜섬 요구 행위를 하지 마세요.
    • 취약성을 발견하고 검증하는 즉시 신고해주세요. 신고 시 재현 방법과 개념증명용 익스플로잇을 함꼐 제출해 주세요.
  • 조사자는 모든 관련법을 준수할 책임이 있습니다.
  • 당사의 정책을 저해하거나 위반할 경우 본 프로그램 참가 자격을 즉시 잃게 됩니다. 위협 또는 갈취 시도 시, 법집행 기관에 회부될 수 있습니다.
  • 프로그램에 대해 질문이 있는 경우 [email protected]으로 문의 주시기 바랍니다.

정책

Kraken은 당사의 상품과 사용자의 안전을 돕는 보안 전문가와 개발자의 가치를 굳게 신뢰합니다. Kraken은 당사의 보안 취약점 신고 프로그램을 통해 협동 취약점 공개(CVD) 제도를 수립하여 수행할 것을 장려합니다. 보안 취약점 신고 프로그램은 디지털 화폐 시장에서 고객을 보호함으로써 Kraken의 미션 완수에 이바지합니다.

Kraken 시스템에서 오류를 찾음으로써, 귀하는 Kraken이 해당 문제를 해결하고 공개를 허가할 때까지 취약성에 대한 모든 데이터, 정보, 귀하의 조사 및 Kraken과의 의사소통을 엄격히 기밀로 유지할 것에 동의합니다. 

귀하가 본 정책의 규정을 준수하는 한, Kraken은 공지된 모든 Kraken 보안 취약점 신고 정책을 준수하여 수행된 보안 조사에 대해, 조사 과정에서 발생하는 선의에 따른 우발적인 위반을 포함하여, 법적 조치를 개시하지 않기로 동의합니다. 

가급적 테스트 계정을 생성함으로써, 고의로 개인정보 보호 정책을 위반하지 않도록 하세요. 귀하의 조사 결과를 입증하는 과정에서 계정 소유자의 명확한 서면 동의를 얻지 못한 채로 계정에서 개인 식별 정보(‘PII’) 또는 민감한 정보를 보게된 경우, 즉시 해당 정보에 대한 접근을 중단하고 Kraken에 (해당 정보 자체가 아닌) PII 또는 기타 민감 정보에 대한 설명과 함께 해당 문제를 신고하세요.

정보 보호 규정과 당사의 개인정보 보호 정책에 따라 귀하는 다음 사항을 따라야 합니다.

  • 다른 고객의 PII를 저장하거나 전송하지 마세요. 고객의 PII를 우연히 포착하게 된 경우 이를 즉시 Kraken에 보고한 후 귀하의 것이 아닌 모든 PII 사본을 삭제하세요. 
  • 조사 중 데이터 수집과 접근을 최소화하세요. 취약성을 입증하고 신고하는 데 절대적으로 필요한 정보만 수집 및 보관하세요. 
  • 신고서를 제출하고 Kraken이 신고서를 접수한 것으로 확인되는 즉시, 수집한 모든 데이터를 지체 없이 안전하게 삭제하세요.
  • Kraken의 명확한 서면 동의 없이 제3자에게 모든 취약성 또는 관련 정보를 공개하지 마세요. 여기에는 소셜 미디어, 타회사 또는 언론이 포함되나 이에 국한되지 않습니다.
  • 보안 취약성 대신 데이터 규정 위반 또는 데이터 보관 위치를 신고하려는 경우, 데이터의 위치만 신고하고 해당 데이터에 추가로 접근하거나 타인에게 데이터의 위치를 공유하지 마세요.

보안 취약점 제출 시 어떠한 위협이나 갈취 시도도 없어야 합니다. 당사는 정당한 조사 결과에 포상을 지급하지만, 랜섬 요구 시 지급에서 제외됩니다. 예를 들어, 요구를 들어줄 때까지 취약점에 대한 정보를 알리지 않거나 그 밖의 방법으로 취약점을 해결을 방해하는 경우 랜섬 요구로 간주됩니다. 당사는 랜섬 요구가 있는 모든 보안 취약점 제출서를 당국에 신고할 것을 관련법에 의해, 또는 자체적으로 결정할 수 있습니다. 

당사는 본 정책에 부합하는 활동을 컴퓨터 사기 및 남용 방지법(CFAA), 디지털 밀레니엄 저작권법(DMCA), 캘리포니아 형법 503(c) 등 해킹 방지법에 따른 "승인된" 활동으로 간주합니다. 당사가 사용한 기술적 조치를 보안 취약점 신고 프로그램의 범위 내에서 애플리케이션을 보호하기 위해 우회하는 조사자에 대해서는 소송을 제기하지 않습니다. 그러나, 본 정책에 대한 준수가 Kraken 또는 다른 개별 기관 또는 정부 기관이 국제법의 적용을 면제함을 의미하지는 않습니다. 해킹 방지, 데이터 및 개인정보 보호 및 정보 전송 규제 관련 모든 현지 및 국제법을 이해하고 준수하는 것은 개별 보안 조사자의 책임입니다. 귀하가 본 정책의 약관을 따랐지만 제3자가 귀하에 대한 소송을 제기한 경우, Kraken은 당사가 아는 한도 내에서 귀하의 조사가 본 프로그램의 약관을 추구하고 준수하여 수행된 것임을 관련 검찰 기관 또는 고소인에게 알릴 것입니다.

각 조사자는 본 정책과 일관되지 않거나 본 정책에서 다루지 않은 활동에 참여하기 전에 당사에 해당 활동에 대해 알려야 합니다. 우리는 조사자들이 조사를 수행하고 자신 있게 보고할 수 있도록 정책의 명확성에 대한 제안을 환영합니다.

보상

모든 보안 취약점 신고 제출서는 Kraken의 평가를 거치며, 취약점의 순위에 따라 보상이 지급됩니다. 모든 지급액은 BTC로 귀하가 인증한 Kraken 계정에 입금되며, 이러한 지급은 가이드라인에 따라 정의되며 변경될 수 있습니다.

  • 모든 오류 보고서는 본 프로그램의 유일한 공식 이메일인 [email protected]으로 제출해야 합니다. 취약점 상세 정보 제출 시 외부 사이트를 사용하지 마세요. 모든 외부 사이트 또는 포털은 공식 경로가 아니면 Kraken이 승인한 경로가 아닙니다.
  • 보안 취약점 보상을 지급 받으려면 아래 요건을 충족해야 합니다.
  • 취약점 상세 정보에 대한 대가로 금전 지급 또는 다른 형태의 인정을 요구하는 경우 즉시 보안 취약점 보상 지급 자격을 잃게 됩니다. 취약점 상세 정보를 알리지 않는 경우에도 즉각 보안 취약점 보상 지급 자격이 박탈됩니다.
  • 취약점을 재현하는 상세한 방법과 개념 증명을 제출하세요. 
  • 당사에서 귀하의 조사 결과를 재현하지 못할 경우, 귀하의 신고는 지급 대상이 되지 않습니다. 보안 취약점을 입증하는 데 필요한 사항만 이용하고 추출된 모든 자산을 즉시 반환하세요.
  • 타인에게 보안 취약점을 알리는 것은 금지됩니다.
  • 본 정책에 명시된 절차를 우회하려 시도할 경우, 즉각 보안 취약점 보상 지급 자격이 박탈됩니다. 
  • 지급을 위해 귀하의 Bitcoin(BTC) 주소를 함께 제출하세요. 모든 보상은 Bitcoin으로 발행됩니다.
  • 최소 지급액은 아래에 정의되어 있습니다. 모든 지급금은 Kraken의 재량에 따라 변경될 수 있습니다.
  • 최소 지급액은 $500 USD 상당 Bitcoin (BTC)입니다.

제출 절차

보안 취약점 신고서를 제출하려면 다음 단계를 따르세요.

1. 보안 취약점 신고 메일함에 신고서를 제출하세요

2. Kraken 보안팀에서 제출된 문서를 확인합니다(SLA 1 영업일)

3. Kraken 보안팀에서 제출된 문서를 분류합니다(SLA 10 영업일)

4. Kraken 보안팀이 신고서의 내용을 취약점으로 인정할 경우 결과를 회신하며, 회신 알림에는 취약 심각도, 보상 금액이 포함됩니다(이때 당사는 귀하에게 BTC 주소를 요청할 것입니다).

5. Kraken에서 보안 취약점에 대한 보상을 지급합니다(SLA 14 영업일)

보안 강화를 위해 귀하의 보안 취약점 제출서를 암호화하고자 할 경우 PGP 공개 키를 사용할 수 있습니다. 해당 보안 키를 PGP 클라이언트에 가져온 후 신고서를 암호화하여 [email protected]에 전송하세요. 암호화 없는 제출서도 수락됩니다. PGP 공개 키를 가져오는 방법(선택적/추가 보안):

  • https://www.kraken.com/.well-known/security.txt에서 보안 링크를 사용하여 공개 키 블록을 다운로드 또는 복사합니다(https://www.kraken.com/.well-known/pgp-key.txt 파일을 다운로드 하거나 -----BEGIN PGP PUBLIC KEY BLOCK-----으로 시작하는 텍스트를 복사하세요)
  • PGP 또는 GPG 클라이언트를 엽니다(예: 명령어 줄의 GnuPG, Thunderbird의 OpenPGP Key Manager 또는 GNOME Seahorse/"Passwords & Keys").
  • 클라이언트의 "키 가져오기" 기능을 사용하여 키를 귀하의 키링에 추가합니다.
  • (선택 사항) 진위 확인을 위해 키의 지문을 이용해 인증합니다.
지급 범위심각도범위
 낮은 심각도$500~$1000
 중간 심각도$2,500~$5,000
 높은 심각도$20,000~$50,000
 최고 심각도$100,000~$1,500,000

아래 속성은 보안 취약점 보상 범위에 해당합니다

모든 보상은 Bitcoin으로 발행됩니다

URL속성 이름
www.kraken.com기본 웹사이트
api.kraken.comREST API
  • ws.kraken.com
  • ws-auth.kraken.com
웹소켓 API
futures.kraken.com/derivatives/api/v3Kraken Derivatives REST API
wss://futures.kraken.com/ws/v1선물 Websocket API
  • trade.kraken.com
  • pro.kraken.com
Kraken Pro 사이트
www.cryptofacilities.com암호화폐 상품 웹사이트
www.cryptofacilities.co.uk암호화폐 상품 영국 웹사이트
www.cfbenchmarks.comCfbenchmark 웹사이트
www.staked.usStaked 웹사이트
mainnet.staked.cloud/apiStaked API
*inkonchain.comInk
id.kraken.comKraken SSO
Kraken 데스크톱 애플리케이션
Kraken 모바일 애플리케이션
Kraken Pro 모바일 애플리케이션
Kraken 월렛 애플리케이션
Kraken 소유 자산인증된 모든 호스트는 Kraken에서 소유 및 관리

프로그램 통계

  • 지난 해 보상 지급 신고: 26
  • 지난 해 신고 건수: 434
  • 지난 해 평균 지급액:$3,962

영예 포상자

Kraken 보안 취약점 신고 프로그램을 통해 과거에 보상을 받은 조사자를 아래에서 확인하세요.

본 정보는 분기마다 업데이트됩니다.
영예 포상자조사자보상 금액
새로운 수상자Devendra Hyalij - Twitter$60,100
삭제됨*3.
 UGWST - Twitter3.
 삭제됨*$20,500
 삭제됨*$20,000
 삭제됨*$20,000
 삭제됨*$18,500
 Md Al Nafis Aqil Haque$11,000
 삭제됨*$10,000
 삭제됨*$10,000
 삭제됨*$10,000
 
*조사자 요청으로 이름 비공개		 
본 정보는 분기마다 업데이트됩니다.

취약성 등급

최고 심각도

최고 심각도는 광범위한 Kraken 사용자 또는 Kraken 자체에 직접적이고 즉각적인 위험을 제기하는 문제에 해당합니다. 이런 문제는 Kraken 애플리케이션 스택 또는 인프라의 상대적 낮은 단계의 구성요소 및 기본적인 구성 요소에 영향을 미치는 경우가 많습니다. 예를 들어:

  • Kraken 프로덕션 네트워크 서버에 대한 대체 코드/명령 실행.
  • 프로덕션 데이터베이스에 대한 대체 쿼리.
  • 로그인 프로세스(비밀번호 또는 2FA)의 우회.
  • 민감한 프로덕션 사용자 데이터에 또는 내부 프로덕션 시스템에 대한 접근 등이 있습니다.

 

고가

높은 심각도는 접근 권한이 인증되지 않은 매우 민감한 데이터를 공격자가 읽거나 수정할 수 있는 상황을 의미합니다. 이러한 문제가 발생할 경우 공격자에게 광범위한 접근을 허용하지만, 일반적으로 최고 심각도 문제보다는 범위가 좁습니다. 예를 들어:

  • CSP를 우회하는 XSS
  • 공개적으로 노출된 출처에서 민감한 사용자 데이터를 발견
  • 최종 사용자 계정이 접근하지 않아야 하는 일반 시스템에 대한 접근 권한 획득

 

중간

중간 심각도는 액세스가 인증되지 않은 제한적 양의 데이터를 공격자가 읽거나 수정할 수 있는 상황을 의미합니다. 일반적으로 심각도 높은 문제 보다 민감도가 낮은 정보에 접근하는 경우가 여기에 해당합니다. 예를 들어:

  • 사용자가 접근하지 않아야 하는 프로덕션 시스템에서 민감도가 낮은 정보를 공개
  • CSP를 우회하지 않거나 다른 사용자 세션에서 민감한 작업을 하지 않는 XSS
  • 리스크가 낮은 작업에 대한 CSRF

 

저가

낮은 심각도는 공격자가 매우 제한적인 양의 데이터에 접근할 수 있는 상황을 의미합니다. 이 경우 원래 설계된 대로 동작하지는 않지만, 공격자가 돌발 행동을 할 수 있게 되거나 권한의 에스컬렌이션이 일어나지는 않습니다. 예를 들어:

  • 취약점 악용 증명 없이 또는 민감한 정보의 입수 없이 버보스 페이지(진행 메시지 표시 페이지) 또는 오류 정정 페이지가 표시됨.

 

부적격

당사의 관심 대상이 아니거나 보상 자격이 없는 신고는 다음과 같습니다.

  • 기본 웹사이트의 취약성으로 이어지지 않는 제3자 호스트 사이트(support.kraken.com 등)의 취약성. Kraken 블로그의 취약성 및 오류(blog.kraken.com).
  • 물리적 공격, 소셜 엔지니어링, 스팸, DDOS 공격에 따른 취약성.
  • 오래되거나 패치되지 않은 브라우저에 영향을 미치는 취약성.
  • Kraken API를 활용하는 제3자 애플리케이션의 취약성.
  • 문제를 공개한 후 30일 이내에 Kraken 상품, 서비스 또는 인프라에 사용된 제3자 라이브러리 또는 기술에서 공개된 취약성.
  • Kraken이 종합적으로 수정한 버전을 발행하기 전 공개적으로 알려진 취약성.
  • 당사에 알려졌거나 다른 누군가에 의해 이미 신고된 취약성(보상은 첫 신고자에게 수여됨).
  • 재현할 수 없는 문제.
  • 불가능한 사용자 상호 작용이 필요한 취약성.
  • 모바일 기기의 루팅/탈옥이 필요한 취약성.
  • 취약성 악용 증명 및 보안 헤더 누락.
  • TLS Cipher 패키지 제공.
  • 모범 사례에 대한 제안.
  • 소프트웨어 버전 공개.
  • 상세한 단계별 재현 방법 익스플로잇 개념 증명이 첨부되지 않은 모든 보고서.
  • Kraken이 해당 표준을 준수하기 위해 구현해야 하는 기술 사양의 문제 등, 당사가 합리적으로 행할 수 없는 문제.
  • 자동화 도구/스캐너 출력물 또는 AI 생성 신고서.
  • 보안에 어떠한 영향도 없는 문제.

 

보안 문제가 아닌 문제

보안 이외의 문제는 https://support.kraken.com을 통해 알려주세요.