Kraken Digital Asset Exchange werd opgericht in 2011 en is een van 's werelds grootste en oudste bitcoinbeurzen met de breedste selectie digitale activa en nationale valuta. Kraken is gevestigd in San Francisco en heeft kantoren over de hele wereld. Het handelsplatform van Kraken wordt door onafhankelijke nieuwsmedia consequent beoordeeld als de beste en veiligste beurs voor digitale activa. Vertrouwd door honderdduizenden handelaren, instellingen en autoriteiten, waaronder de door BaFin gereguleerde Duitse Fidor Bank, is Kraken de eerste beurs die zijn marktgegevens op de Bloomberg Terminal weergeeft, die een cryptografisch verifieerbare Proof-of-Reserves-audit doorstaat en de eerste die spothandel met marge aanbiedt. Kraken-investeerders zijn onder andere Blockchain Capital, Digital Currency Group, Hummingbird Ventures en Money Partners Group.

• Kraken moedigt verantwoordelijke openbaarmaking van kwetsbaarheden in de beveiliging aan via ons foutpremie-programma.
• Onderzoekers moeten het geschreven beleid volgen. Over dit beleid kan niet worden onderhandeld.
• Belangrijkste regels:
  • Handel in goed vertrouwen en vermijd beleidsovertredingen.
  • Doe niet meer dan nodig is om een kwetsbaarheid aan te tonen. 
  • Uit geen bedreigingen en eis geen losgeld.
  • Rapporteer kwetsbaarheden, inclusief instructies en proof-of-concept-exploit, zodra ze ontdekt en gevalideerd zijn.
• Onderzoekers zijn verantwoordelijk voor het naleven van alle toepasselijke wetten.
• Pogingen om ons beleid te ondermijnen of te schenden zullen resulteren in onmiddellijke uitsluiting van deelname aan dit programma. Bedreigingen of afpersingspogingen kunnen worden doorverwezen naar de politie.
• Als je ergens niet zeker van bent, laat het dan weten aan [email protected] voor opheldering.

Kraken gelooft sterk in de waarde van beveiligingsprofessionals en ontwikkelaars die helpen om onze producten en gebruikers veilig te houden. Kraken heeft een gecoördineerde openbaarmaking van kwetsbaarheden opgezet en moedigt deze aan via ons foutpremieprogramma. Het foutpremieprogramma dient de missie van Kraken door klanten op de markt voor digitale valuta te helpen beschermen.

Door het opsporen van bugs in Kraken-systemen, stem je ermee in om alle gegevens, informatie over kwetsbaarheden, je onderzoek en communicatie met Kraken strikt vertrouwelijk te houden totdat Kraken het probleem heeft aangepakt en toestemming heeft gegeven voor openbaarmaking. 

Wanneer aan de vereisten van dit beleid wordt voldaan, stemt Kraken ermee in geen juridische stappen te ondernemen voor beveiligingsonderzoek dat is uitgevoerd volgens alle gepubliceerde foutpremiebeleidsregels van Kraken, inclusief te goeder trouw, toevallige schendingen. 

Vermijd opzettelijke privacyschendingen door waar mogelijk testaccounts te maken. Mocht je persoonlijk identificeerbare informatie ('PII') of andere gevoelige gegevens tegenkomen voor accounts waarvoor je geen uitdrukkelijke schriftelijke toestemming hebt van de eigenaar van het account om deze te gebruiken om je bevindingen te valideren, stop dan onmiddellijk met de toegang tot deze gegevens en meld het probleem aan Kraken met een beschrijving van de gegevens, niet de gegevens zelf.

In overeenstemming met de regelgeving voor gegevensbescherming en ons privacybeleid, dien je:

• Geen PII van andere klanten op te slaan of door te geven. Als je toevallig PII van een klant vastlegt, meld dit dan onmiddellijk aan Kraken en vernietig vervolgens alle kopieën van PII die niet van jou zijn. 
• Het verzamelen van gegevens en de toegang daartoe tijdens je onderzoek tot een minimum te beperken. Alleen gegevens te verzamelen en bewaren die absoluut noodzakelijk is om de kwetsbaarheid aan te tonen en te melden. 
• Onmiddellijk en veilig alle verzamelde gegevens te verwijderen zodra de melding is ingediend en Kraken de ontvangst heeft bevestigd.
• Geen kwetsbaarheden of bijbehorende informatie bekend te maken aan derden zonder de uitdrukkelijke schriftelijke toestemming van Kraken. Dit omvat, maar is niet beperkt tot, sociale media, andere bedrijven of de pers.
• Als u een gegevenslek of de locatie van een gegevensopslagplaats meldt in plaats van een beveiligingslek, geef dan de locatie van de gegevens en open deze niet verder, noch deel de locatie van de gegevens met anderen.

Een inzending van een foutpremie mag nooit bedreigingen of pogingen tot afpersing bevatten. We staan open voor het betalen van premies voor legitieme bevindingen, maar verzoeken om losgeld komen niet in aanmerking voor betaling. Het niet vrijgeven van informatie over de kwetsbaarheid of het op een andere manier belemmeren van de mogelijkheid om de kwetsbaarheid op te lossen totdat aan andere eisen is voldaan, wordt bijvoorbeeld beschouwd als een eis om losgeld. We kunnen wettelijk verplicht zijn of vrijwillig besluiten om inzendingen van een foutpremie met eisen om losgeld, te rapporteren aan de autoriteiten. 

We zijn van mening dat activiteiten die worden uitgevoerd in overeenstemming met dit beleid geautoriseerd gedrag vormen onder de Computer Fraud and Abuse Act (CFAA), de Digital Millennium Copyright Act (DMCA) en toepasselijke antihackingwetten zoals Cal. Penal Code 503(c). We zullen geen claim indienen tegen onderzoekers voor het omzeilen van de technologische maatregelen die we hebben gebruikt om de applicaties binnen het bereik van het foutpremieprogramma te beschermen. Het volgen van dit beleid betekent echter niet dat Kraken of enige andere individuele organisatie of overheid immuniteit kan verlenen tegen wereldwijde wetgeving. Het is de verantwoordelijkheid van individuele beveiligingsonderzoekers om alle toepasselijke lokale en internationale wetgeving met betrekking tot antihacking, gegevens en privacy en exportcontroles te begrijpen en na te leven. Als een derde een rechtszaak tegen jou aanspant en je hield je aan de voorwaarden in dit beleid, dan zal Kraken de betreffende rechtshandhavingsinstanties of civiele aanklagers informeren dat jouw onderzoeksactiviteiten, naar ons beste weten, werden uitgevoerd overeenkomstig de voorwaarden van dit programma.

Het is vereist dat elke onderzoeker ons een kennisgeving stuurt voordat de onderzoeker zich bezighoudt met gedrag dat mogelijk in strijd is met of niet wordt behandeld in dit beleid. We verwelkomen suggesties voor beleidsverduidelijkingen die onderzoekers helpen om hun onderzoek en rapportage met vertrouwen uit te voeren.

Alle indieningen voor foutpremies worden beoordeeld door Kraken en uitbetaald op basis van de kwetsbaarheidsbeoordeling. Alle uitbetalingen worden gedaan in BTC naar je geverifieerde Kraken-account en zijn gedefinieerd als richtlijn en onderhevig aan verandering.

• Alle bugmeldingen moeten worden ingediend bij [email protected], het enige officiële aanspreekpunt voor dit programma. Gebruik geen externe sites om details over kwetsbaarheden in te dienen. Alle externe sites of portals zijn onofficieel en niet goedgekeurd door Kraken.
• Om foutpremiebetalingen te ontvangen, moet u:
  • Registreer op het Intermediair-niveau. Zie: Een account aanmaken -https://www.kraken.com/sign-up
  • Een ACTIEF account hebben
  • Verstrek documentatie voor verificatie. Zie ook: https://support.kraken.com/hc/en-us/articles/360000672203-Document-requirements-for-verification
• Vragen om betaling of een andere erkenning in ruil voor details over kwetsbaarheden zal resulteren in het onmiddellijk niet in aanmerking komen voor premiebetalingen. Het niet vrijgeven van details over kwetsbaarheden zal ook resulteren in het onmiddellijk niet in aanmerking komen voor premiebetalingen.
• Verstrek gedetailleerde instructies om de kwetsbaarheid te reproduceren en een 'Proof of Concept'. 
• Als we uw bevindingen niet kunnen reproduceren, komt uw melding niet in aanmerking voor uitbetaling. Maak alleen gebruik van wat nodig is om een kwetsbaarheid in de beveiliging aan te tonen en retourneer onmiddellijk alle middelen die zijn gebruikt.
• Het bekendmaken van de kwetsbaarheid aan andere personen is verboden.
• Elke poging om de procedures in dit beleid te omzeilen zal resulteren in de onmiddellijke uitsluiting van premiebetalingen. 
• Vermeld uw bitcoinadres (BTC) voor uitbetaling. Alle beloningen worden uitbetaald in bitcoin.
• De minimale betalingen worden hieronder gedefinieerd. Alle betalingen kunnen worden aangepast naar goeddunken van Kraken.
• De minimale uitbetaling is het bitcoinequivalent (BTC) van USD 500.

De volgende stappen worden genomen om een inzending van een foutpremie te verwerken:

1. Melding is ingediend bij mailbox van foutpremie

2. Kraken-beveiliging bevestigt indiening (SLA 1 werkdag)

3. Kraken-beveiliging beveiligt de indiening (SLA 10 werkdagen)

4. Kraken-beveiliging stuurt antwoord met vaststelling. Als het gaat om een kwetsbaarheid, bevat de melding de ernstgraad en het bedrag van de reward (we vragen om een BTC-adres)

5. Voor kwetsbaarheden in de beveiliging verstuurt Kraken de reward (SLA 14 werkdagen)

• 26 meldingen beloond in het afgelopen jaar
• 434 meldingen ingediend in het afgelopen jaar
• Gemiddelde uitbetaling van $ 3.962 in het afgelopen jaar

Zie hieronder enkele van de onderzoekers die eerder zijn beloond via het foutpremieprogramma van Kraken.

Kritiek

Problemen met een kritieke ernstgraad vormen een direct en onmiddellijk risico voor een groot aantal van onze gebruikers of voor Kraken zelf. Ze hebben vaak invloed op relatief componenten op laag niveau/fundamentele componenten in een van onze applicatiestacks of infrastructuur. Bijvoorbeeld:

• Willekeurige uitvoering van code/opdrachten op een server in ons productienetwerk.
• Willekeurige query's op een productiedatabase.
• Omzeilen van ons aanmeldingsproces, met wachtwoord of 2FA.
• Toegang tot gevoelige gegevens van productiegebruikers of toegang tot interne productiesystemen.

Hoog

Bij problemen met een hoge ernstgraad kan een aanvaller zeer gevoelige gegevens lezen of wijzigen waartoe deze geen toegang zou mogen hebben. Deze problemen hebben over het algemeen een beperkter bereik dan kritieke problemen, hoewel ze een aanvaller nog steeds uitgebreide toegang kunnen geven. Bijvoorbeeld:

• XSS die CSP omzeilt
• Gevoelige gebruikersgegevens ontdekken in een openbaar toegankelijke bron
• Toegang krijgen tot een niet-kritiek systeem waartoe een eindgebruikersaccount geen toegang zou mogen hebben

Gemiddeld

Bij problemen met een gemiddelde ernstgraad kan een aanvaller beperkte hoeveelheden gegevens lezen of wijzigen waartoe deze geen toegang zou mogen hebben. Ze geven over het algemeen toegang tot minder gevoelige informatie dan problemen met een hoge ernstgraad. Bijvoorbeeld:

• Openbaarmaking van niet-gevoelige informatie van een productiesysteem waartoe de gebruiker geen toegang zou mogen hebben
• XSS die geen CSP omzeilt of geen gevoelige acties uitvoert in de sessie van een andere gebruiker
• CSRF voor acties met een laag risico

Laag

Bij problemen met een lage ernstgraad heeft een aanvaller toegang tot zeer beperkte hoeveelheden gegevens. Ze kunnen de verwachting werking van iets schenden, maar het staat bijna geen escalatie van privileges toe of de mogelijkheid om onbedoeld gedrag door een aanvaller te triggeren. Bijvoorbeeld:

• Het triggeren van verbose of debugfoutpagina's zonder bewijs van exploiteerbaarheid of het verkrijgen van gevoelige informatie.

Niet-toelating

Meldingen waarin we niet geïnteresseerd zijn en die niet in aanmerking komen voor rewards zijn onder andere:

• Kwetsbaarheden op sites die gehost worden door derden (support.kraken.com, etc,) tenzij ze leiden tot een kwetsbaarheid op de hoofdwebsite. Kwetsbaarheden en fouten op de Kraken-blog (blog.kraken.com).
• Kwetsbaarheden die afhankelijk zijn van een fysieke aanval, social engineering, spamming, DDoS-aanval, etc.
• Kwetsbaarheden in verouderde of ongepatchte browsers.
• Kwetsbaarheden in applicaties van derden die gebruik maken van de API van Kraken.
• Kwetsbaarheden die openbaar zijn gemaakt in bibliotheken of technologie van derden die gebruikt worden in producten, diensten of infrastructuur van Kraken, eerder dan 30 dagen na de openbaarmaking van het probleem.
• Kwetsbaarheden die openbaar zijn gemaakt voordat Kraken een uitgebreide fix heeft uitgegeven.
• Kwetsbaarheden die al bij ons bekend zijn of al door iemand anders zijn gemeld (beloning gaat naar de eerste melder).
• Problemen die niet reproduceerbaar zijn.
• Kwetsbaarheden die een onwaarschijnlijk niveau van gebruikersinteractie vereisen.
• Kwetsbaarheden die root/jailbreak vereisen op mobiel.
• Ontbrekende beveiligingsheaders zonder bewijs van exploiteerbaarheid.
• Aangeboden TLS Cipher Suites.
• Suggesties voor beste praktijken.
• Openbaarmaking van softwareversies.
• Elke melding zonder gedetailleerde stapsgewijze instructies en een bijbehorend 'Proof of Concept'.
• Problemen waar redelijkerwijs niet van ons verwacht kan worden dat we er iets aan doen, zoals problemen in technische specificaties die Kraken moet implementeren om aan die standaarden te voldoen.
• De uitvoer van geautomatiseerde tools/scanners of door AI gegenereerde meldingen.
• Problemen zonder enige invloed op de beveiliging.

Niet-beveiligingsproblemen

U kunt ons op de hoogte stellen van niet-beveiligingsproblemen op https://support.kraken.com.