ภาพรวมโปรแกรม Bug Bounty
- Kraken ส่งเสริมให้เปิดเผยข้อมูลอย่างรับผิดชอบ เมื่อเจอช่องโหว่ด้านความปลอดภัยผ่านโปรแกรม Bug Bounty ของเรา
- นักวิจัยต้องปฏิบัติตามนโยบายที่กำหนดไว้เป็นลายลักษณ์อักษร นโยบายนี้ไม่สามารถต่อรองได้
- กฎหลัก
- ปฏิบัติด้วยความสุจริตและไม่ฝ่าฝืนนโยบาย
- ไม่ดำเนินการเกินความจำเป็นในการพิสูจน์ช่องโหว่
- ห้ามข่มขู่หรือเรียกค่าไถ่
- รายงานช่องโหว่ทันทีที่พบและตรวจสอบแล้ว โดยรวมถึงคู่มือและการวิเคราะห์ความเป็นไปได้ (PoC) ในการใช้ประโยชน์จากช่องโหว่
- นักวิจัยมีหน้าที่ปฏิบัติตามกฎหมายที่เกี่ยวข้องทั้งหมด
- การพยายามหลีกเลี่ยงหรือฝ่าฝืนนโยบายจะทำให้หมดสิทธิ์เข้าร่วมโปรแกรมทันที การข่มขู่หรือพยายามรีดไถอาจถูกส่งต่อให้หน่วยงานบังคับใช้กฎหมายดำเนินการ
- หากไม่แน่ใจในประเด็นใด โปรดติดต่อ [email protected] เพื่อขอคำชี้แจง
นโยบาย
Kraken เชื่อมั่นอย่างมากในคุณค่าของผู้เชี่ยวชาญด้านความปลอดภัยและนักพัฒนาที่ช่วยปกป้องผลิตภัณฑ์และผู้ใช้ของเราให้ปลอดภัย Kraken จัดตั้งและส่งเสริมการเปิดเผยช่องโหว่แบบประสานงาน (CVD) ผ่านโปรแกรม Bug Bounty ของเรา โปรแกรม Bug Bounty สนับสนุนพันธกิจของ Kraken โดยช่วยปกป้องลูกค้าในตลาดสกุลเงินดิจิทัล
เมื่อทำการค้นหาช่องโหว่ในระบบของ Kraken คุณตกลงที่จะเก็บข้อมูลทั้งหมด ข้อมูลเกี่ยวกับช่องโหว่ งานวิจัย และการสื่อสารกับ Kraken ไว้เป็นความลับอย่างเข้มงวด จนกว่า Kraken จะดำเนินการแก้ไขปัญหาและอนุญาตให้เปิดเผยได้
เมื่อปฏิบัติตามข้อกำหนดของนโยบายนี้ครบถ้วน Kraken ตกลงที่จะไม่ดำเนินการทางกฎหมายต่อการวิจัยด้านความปลอดภัยที่ปฏิบัติตามนโยบาย Bug Bounty ของ Kraken ทั้งหมด รวมถึงการละเมิดโดยไม่ได้ตั้งใจด้วยเจตนาที่สุจริต
โปรดหลีกเลี่ยงการละเมิดความเป็นส่วนตัวโดยตั้งใจ และใช้บัญชีทดสอบเมื่อใดก็ตามที่สามารถทำได้ หากคุณพบข้อมูลส่วนบุคคล (PII) หรือข้อมูลส่วนบุคคลที่อ่อนไหวอื่นๆ ของบัญชีที่คุณไม่ได้รับอนุญาตเป็นลายลักษณ์อักษรจากเจ้าของบัญชีเพื่อใช้ในการยืนยันผลการค้นหา โปรดหยุดเข้าถึงข้อมูลนั้นทันที และรายงานปัญหาต่อ Kraken โดยให้อธิบายประเภทของ PII หรือข้อมูลส่วนบุคคลที่อ่อนไหวที่พบ โดยไม่ส่งตัวข้อมูลจริง
เพื่อให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลและนโยบายความเป็นส่วนตัวของเรา คุณต้องปฏิบัติดังนี้
- ห้ามจัดเก็บหรือส่งต่อ PII ของลูกค้ารายอื่น หากพบว่าได้รับ PII ของลูกค้ารายอื่นโดยไม่ตั้งใจ ให้รายงานต่อ Kraken ทันที และทำลายสำเนาข้อมูลทั้งหมดที่ไม่ใช่ของคุณ
- ลดการเก็บและเข้าถึงข้อมูลให้น้อยที่สุดระหว่างการวิจัย เก็บและรักษาเฉพาะข้อมูลที่จำเป็นอย่างยิ่งเท่านั้นในการแสดงและรายงานช่องโหว่ที่พบ
- ลบข้อมูลทั้งหมดที่เก็บรวบรวมไว้อย่างปลอดภัยทันทีหลังจากที่ส่งรายงานและ Kraken ยืนยันการรับรายงานเรียบร้อยแล้ว
- ห้ามเปิดเผยช่องโหว่หรือข้อมูลที่เกี่ยวข้องต่อบุคคลที่สามโดยไม่ได้รับความยินยอมเป็นลายลักษณ์อักษรจาก Kraken ซึ่งรวมถึงแต่ไม่จำกัดเฉพาะโซเชียลมีเดีย บริษัทอื่น หรือสื่อมวลชน
- หากคุณรายงานเหตุการณ์ข้อมูลรั่วไหลหรือพบตำแหน่งที่เก็บข้อมูลแทนการรายงานช่องโหว่ด้านความปลอดภัย กรุณาแจ้งเฉพาะตำแหน่งของข้อมูลนั้น ห้ามเข้าถึงเพิ่มเติม และห้ามเผยแพร่ตำแหน่งดังกล่าวต่อผู้อื่น
การส่ง Bug Bounty ต้องไม่มีการข่มขู่หรือพยายามรีดไถทุกกรณี เรายินดีพิจารณาจ่ายรางวัลสำหรับการค้นพบที่ถูกต้องตามหลักการ อย่างไรก็ตามคำขู่เรียกค่าไถ่จะไม่ได้รับสิทธิ์ในการรับรางวัล ตัวอย่างเช่น การไม่เปิดเผยข้อมูลช่องโหว่ หรือขัดขวางกระบวนการแก้ไขช่องโหว่จนกว่าจะมีการตอบสนองต่อข้อเรียกร้องอื่นๆ จะถือว่าเป็นการเรียกค่าไถ่ เราอาจจำเป็นต้องทำตามกฎหมาย หรืออาจเลือกที่จะรายงานต่อเจ้าหน้าที่โดยสมัครใจ หากการส่งรายงาน Bug Bounty มีลักษณะเป็นการเรียกค่าไถ่
เราเชื่อว่ากิจกรรมที่ดำเนินการตามนโยบายนี้ถือเป็น “การกระทำที่ได้รับอนุญาต” ภายใต้รัฐบัญญัติว่าด้วยการกระทำโดยมิชอบและการฉ้อโกงทางคอมพิวเตอร์ (CFAA) รัฐบัญญัติลิขสิทธิ์แห่งสหัสวรรษดิจิทัล (DMCA) รวมถึงกฎหมายต่อต้านการแฮ็กอื่นๆ ที่เกี่ยวข้อง เช่น Cal. ประมวลกฎหมายอาญา มาตรา 503(c) เราจะไม่ฟ้องร้องนักวิจัยที่หลีกเลี่ยงมาตรการเชิงเทคนิคที่เราใช้ปกป้องแอปพลิเคชันที่อยู่ในขอบเขตของโปรแกรม Bug Bounty อย่างไรก็ตาม การปฏิบัติตามนโยบายนี้ไม่ได้หมายความว่า Kraken หรือองค์กร หรือรัฐบาลใดๆ จะสามารถให้เอกสิทธิ์คุ้มกันจากกฎหมายที่มีผลบังคับใช้ทั่วโลกได้ นักวิจัยด้านความปลอดภัยแต่ละรายมีหน้าที่ในการทำความเข้าใจและปฏิบัติตามกฎหมายที่เกี่ยวข้องทั้งหมด ทั้งในระดับท้องถิ่นและระหว่างประเทศ ซึ่งรวมถึงกฎหมายด้านการป้องกันการแฮ็ก ข้อมูลและความเป็นส่วนตัว รวมถึงการควบคุมการส่งออก หากมีบุคคลที่สามดำเนินคดีทางกฎหมายกับคุณ และคุณได้ปฏิบัติตามข้อกำหนดของนโยบายนี้อย่างครบถ้วน Kraken จะชี้แจงต่อหน่วยงานบังคับใช้กฎหมายหรือโจทก์ทางแพ่งที่เกี่ยวข้องว่า จากข้อมูลที่เรามีกิจกรรมการวิจัยของคุณได้ดำเนินการภายใต้ และเป็นไปตามข้อกำหนดและเงื่อนไขของโปรแกรมนี้
นักวิจัยแต่ละรายจะต้องแจ้งให้เราทราบล่วงหน้าก่อนดำเนินการใดๆ ที่อาจไม่สอดคล้อง หรือไม่ได้ระบุไว้ในนโยบายนี้ เรายินดีรับข้อเสนอแนะเพื่อปรับปรุงความชัดเจนของนโยบาย เพื่อช่วยให้นักวิจัยสามารถดำเนินการวิจัยและรายงานผลได้อย่างมั่นใจ
รางวัล
การส่งผลงานเพื่อขอรับรางวัลทั้งหมดจะถูกประเมินโดย Kraken และจ่ายรางวัลตามระดับของช่องโหว่ การจ่ายทั้งหมดจะดำเนินการในรูปแบบ BTC ไปยังบัญชี Kraken ที่ผ่านการยืนยันแล้ว โดยจำนวนรางวัลเป็นเพียงแนวทางและอาจมีการเปลี่ยนแปลงได้
- รายงานบั๊กทั้งหมดต้องส่งไปที่ [email protected] ซึ่งเป็นช่องทางติดต่ออย่างเป็นทางการเพียงช่องทางเดียวในโปรแกรมนี้ โปรดอย่าส่งรายละเอียดของช่องโหว่ผ่านเว็บไซต์ภายนอก เว็บไซต์หรือพอร์ทัลภายนอกใดๆ ถือว่าไม่เป็นทางการและไม่ได้รับการอนุมัติจาก Kraken
- เพื่อรับเงินจากโปรแกรม Bug Bounty คุณต้อง:
- ลงทะเบียนบัญชีในระดับ Intermediate ดูที่: สร้างบัญชี https://www.kraken.com/sign-up
- มีบัญชีที่เปิดใช้งาน
- จัดเตรียมเอกสารเพื่อใช้ในการยืนยันตัวตน ดูเพิ่มเติม: https://support.kraken.com/hc/en-us/articles/360000672203-Document-requirements-for-verification
- การเรียกร้องค่าตอบแทนหรือสิ่งตอบแทนใดๆ เพื่อแลกกับรายละเอียดของช่องโหว่ จะส่งผลให้หมดสิทธิ์รับเงินรางวัลทันที การไม่เปิดเผยรายละเอียดของช่องโหว่ จะส่งผลให้หมดสิทธิ์รับเงินรางวัลทันที
- จัดเตรียมขั้นตอนอย่างละเอียดเพื่อใช้ในการทำสำเนาช่องโหว่ และการวิเคราะห์ความเป็นไปได้ (PoC)
- หากเราไม่สามารถทำสำเนาหรือยืนยันผลการค้นพบของคุณได้ รายงานดังกล่าวจะไม่มีสิทธิ์ได้รับการจ่ายรางวัล ใช้ประโยชน์จากช่องโหว่เฉพาะเท่าที่จำเป็นเพื่อพิสูจน์ช่องโหว่ด้านความปลอดภัย และต้องคืนทรัพย์สินใดๆ ที่ถูกนำออกไปโดยทันที
- ห้ามเปิดเผยข้อมูลช่องโหว่ให้กับบุคคลอื่นโดยเด็ดขาด
- การพยายามหลีกเลี่ยงหรือไม่ปฏิบัติตามขั้นตอนที่ระบุไว้ในนโยบายนี้ จะส่งผลให้หมดสิทธิ์รับเงินรางวัลทันที
- ระบุที่อยู่ Bitcoin (BTC) สำหรับการรับเงิน รางวัลทั้งหมดจะจ่ายในรูปแบบ Bitcoin
- เกณฑ์การจ่ายเงินขั้นต่ำระบุไว้ด้านล่าง การจ่ายเงินรางวัลทั้งหมดอาจมีการปรับเปลี่ยนได้ตามดุลยพินิจของ Kraken
- ยอดเงินรางวัลขั้นต่ำคือ Bitcoin (BTC) มูลค่าเทียบเท่า $500 USD
ขั้นตอนการส่งรายงาน
ขั้นตอนต่อไปนี้ใช้สำหรับการดำเนินในโปรแกรม Bug Bounty
1. ส่งรายงานไปยังอีเมลของโปรแกรม Bug Bounty
2. ทีมความปลอดภัยของ Kraken ยืนยันรับทราบ (SLA ภายใน 1 วันทำการ)
3. ทีมความปลอดภัยของ Kraken คัดกรองและประเมินรายงาน (SLA ภายใน 10 วันทำการ)
4. ทีมความปลอดภัยของ Kraken ส่งผลการพิจารณา หากพบว่าเป็นช่องโหว่ รายละเอียดจะแจ้งระดับความรุนแรงและจำนวนเงินรางวัล (โดยจะขอที่อยู่ BTC)
5. สำหรับกรณีที่เป็นช่องโหว่ด้านความปลอดภัย ทาง Kraken จะดำเนินการจ่ายรางวัล (SLA ภายใน 14 วันทำการ)
หากต้องการเพิ่มความปลอดภัยในโดยเข้ารหัสลับการส่งรายงาน Bug Bounty คุณสามารถใช้คีย์สาธารณะ PGP ของเราได้ ให้นำเข้าคีย์ไปใน PGP ของคุณ เข้ารหัสรายงาน แล้วส่งไปที่ [email protected] รายงานที่ไม่ได้เข้ารหัสก็สามารถส่งได้เช่นกัน วิธีนำเข้าคีย์สาธารณะ PGP ของเรา (ไม่บังคับ / เพิ่มความปลอดภัย)
- ดาวน์โหลดหรือคัดลอกบล็อกคีย์สาธารณะโดยใช้ลิงก์ การเข้ารหัส ที่ https://www.kraken.com/.well-known/security.txt (ดาวน์โหลดไฟล์ https://www.kraken.com/.well-known/pgp-key.txt หรือคัดลอกข้อความที่ขึ้นต้นด้วย -----BEGIN PGP PUBLIC KEY BLOCK-----)
- เปิด PGP หรือ GPG ที่คุณใช้งานอยู่ (เช่น GnuPG ผ่านคอมมานด์ไลน์ หรือ OpenPGP Key Manager ของ Thunderbird หรือ GNOME Seahorse / “รหัสผ่านและกุญแจ”)
- ใช้ฟีเจอร์ “นำเข้าคีย์” เพื่อเพิ่มคีย์เข้าสู่ที่เก็บกุญแจของคุณ
- (ไม่บังคับ) ตรวจสอบลายนิ้วมือของคีย์กับเราเพื่อยืนยันความถูกต้อง
| อัตราการจ่าย | ระดับความรุนแรง | ช่วง |
|---|---|---|
| ความรุนแรงต่ำ | $500-$1000 | |
| ความรุนแรงปานกลาง | $2500-$5000 | |
| ความรุนแรงสูง | $20,000-$50,000 | |
| ความรุนแรงขั้นวิกฤต | $100,000-$1,500,000 |
สถิติของโปรแกรม
- 26 รายงานที่ได้รับรางวัลปีที่แล้ว
- 434 รายงานที่ส่งเข้ามาปีที่แล้ว
- $3962 ค่าเฉลี่ยการจ่ายปีที่แล้ว
กำแพงเกียรติยศ
ด้านล่างนี้คือรายชื่อนักวิจัยบางส่วนที่เคยได้รับรางวัลจากโปรแกรม Bug Bounty ของ Kraken
| กำแพงเกียรติยศ | นักวิจัย | จำนวนเงินรางวัลที่ได้รับ |
|---|---|---|
| ผู้ที่ได้รับเลือก | Devendra Hyalij - X | $60,100 |
| ปกปิดข้อมูล* | $50,500 | |
| UGWST - X | $40,000 | |
| ปกปิดข้อมูล* | $20,500 | |
| ปกปิดข้อมูล* | $20,000 | |
| ปกปิดข้อมูล* | $20,000 | |
| ปกปิดข้อมูล* | $25,000,000 | |
| Md Al Nafis Aqil Haque | $25,000,000 | |
| ปกปิดข้อมูล* | $10,000 | |
| ปกปิดข้อมูล* | $10,000 | |
| ปกปิดข้อมูล* | $10,000 | |
*สงวนชื่อของนักวิจัยตามคำร้องขอ |
ระดับของช่องโหว่
ขั้นวิกฤต
ระดับความรุนแรงขั้นวิกฤตส่งผลให้เกิดความเสี่ยงโดยตรงและทันทีต่อผู้ใช้งานจำนวนมาก หรือส่งผลกระทบต่อ Kraken โดยตรง โดยมักกระทบกับองค์ประกอบระดับต่ำหรือระดับพื้นฐานของระบบ ชุดเทคโนโลยีของแอปพลิเคชัน หรือโครงสร้างพื้นฐาน ตัวอย่าง เช่น
- การรันโค้ดหรือคำสั่งใดๆ ได้โดยพลการบนเซิร์ฟเวอร์ในเครือข่ายที่ใช้งานจริงของเรา
- การสั่งคำสั่งบนฐานข้อมูลที่ใช้งานจริงได้โดยพลการ
- การข้ามขั้นตอนการเข้าสู่ระบบ ไม่ว่าจะเป็นรหัสผ่านหรือ 2FA
- การเข้าถึงข้อมูลผู้ใช้ที่มีความอ่อนไหวในระบบใช้งานจริง หรือเข้าถึงระบบภายในที่ใช้งานจริง
สูง
ระดับความรุนแรงสูงเปิดโอกาสให้ผู้โจมตีสามารถอ่านหรือแก้ไขข้อมูลที่มีความอ่อนไหวสูงซึ่งตนไม่มีสิทธิ์เข้าถึงได้ โดยทั่วไปจะมีขอบเขตแคบกว่าขั้นวิกฤต แต่ยังอาจทำให้ผู้โจมตีเข้าถึงระบบได้ในวงกว้าง ตัวอย่าง เช่น
- ช่องโหว่ XSS ที่สามารถหลีกเลี่ยง CSP ได้
- การพบข้อมูลผู้ใช้ที่มีความอ่อนไหวในทรัพยากรที่เปิดเผยต่อสาธารณะ
- การเข้าถึงที่ไม่ใช่ขั้นวิกฤต ซึ่งเป็นระบบที่บัญชีผู้ใช้ทั่วไปไม่ควรมีสิทธิ์เข้าถึง
กลาง
ระดับความรุนแรงปานกลางเปิดโอกาสให้ผู้โจมตีสามารถอ่านหรือแก้ไขข้อมูลได้ในขอบเขตจำกัดซึ่งตนไม่มีสิทธิ์เข้าถึงได้ โดยข้อมูลที่เข้าถึงได้จะมีความอ่อนไหวน้อยกว่าระดับความรุนแรงสูง ตัวอย่าง เช่น
- การเปิดเผยข้อมูลที่ไม่อ่อนไหวจากระบบที่ใช้งานจริง ที่ผู้ใช้ไม่ควรเข้าถึง
- ช่องโหว่ XSS ที่ไม่สามารถหลีกเลี่ยง CSP หรือไม่สามารถดำเนินการที่มีความอ่อนไหวในเซสชันของผู้ใช้อื่นได้
- ช่องโหว่ CSRF สำหรับการกระทำที่มีความเสี่ยงต่ำ
ต่ำ
ระดับความรุนแรงต่ำเปิดโอกาสให้ผู้โจมตีเข้าถึงข้อมูลได้ในปริมาณที่จำกัดมาก อาจเป็นการทำงานที่ไม่เป็นไปตามที่คาดหวัง แต่แทบไม่ก่อให้เกิดการยกระดับสิทธิ์ หรือเปิดโอกาสให้ผู้โจมตีสามารถกระตุ้นพฤติกรรมที่ไม่พึงประสงค์ได้ ตัวอย่าง เช่น
- การกระตุ้นให้เกิดหน้าข้อผิดพลาดสำหรับการดีบัก โดยไม่มีหลักฐานว่าสามารถนำไปโจมตีหรือเข้าถึงข้อมูลอ่อนไหวได้
กรณีที่ไม่เข้าเกณฑ์
รายงานที่จะไม่ได้รับการพิจารณาและไม่มีสิทธิ์รับรางวัล ได้แก่
- ช่องโหว่บนเว็บไซต์ของบุคคลที่สาม (เช่น support.kraken.com) เว้นแต่จะเชื่อมโยงไปสู่ช่องโหว่บนเว็บไซต์หลัก ช่องโหว่หรือบั๊กบน Kraken บล็อก (blog.kraken.com)
- ช่องโหว่ที่ต้องอาศัยการโจมตีทางกายภาพ การหลอกลวงทางสังคม สแปม หรือการโจมตีแบบ DDoS
- ช่องโหว่ที่เกิดจากเบราว์เซอร์ที่ล้าสมัยหรือไม่ได้รับการอัปเดต
- ช่องโหว่ในแอปพลิเคชันของบุคคลที่สามที่ใช้ API ของ Kraken
- ช่องโหว่ในไลบรารีหรือเทคโนโลยีของบุคคลที่สามถูกใช้งานในผลิตภัณฑ์ บริการ หรือโครงสร้างพื้นฐานของ Kraken ซึ่งถูกเปิดเผยสู่สาธารณะแล้วไม่ถึง 30 วันนับจากวันที่เปิดเผยประเด็นนั้น
- ช่องโหว่ที่ถูกเปิดเผยต่อสาธารณะก่อนที่ Kraken จะแก้ไขอย่างเป็นทางการ
- ช่องโหว่ที่เราทราบอยู่แล้ว หรือมีผู้รายงานมาก่อน (รางวัลจะมอบให้ผู้รายงานคนแรก)
- ประเด็นที่ไม่สามารถทำซ้ำได้
- ช่องโหว่ที่ต้องอาศัยพฤติกรรมผู้ใช้ในระดับที่ไม่สมเหตุสมผล
- ช่องโหว่ที่ต้องอาศัยการ Root หรือ Jailbreak บนมือถือ
- การขาดส่วนหัวการรักษาความปลอดภัย โดยไม่มีหลักฐานว่าสามารถนำไปโจมตีได้จริง
- ชุดรหัสเข้ารหัส TLS ที่รองรับ
- ข้อเสนอแนะเกี่ยวกับแนวปฏิบัติที่ดี
- การเปิดเผยเวอร์ชันของซอฟต์แวร์
- รายงานใดๆ ที่ไม่มี คู่มือแบบละเอียดทีละขั้นตอน และ ไม่ได้แนบการวิเคราะห์ความเป็นไปได้ (PoC) ในการใช้ประโยชน์จากช่องโหว่มาด้วย
- ประเด็นที่เราไม่สามารถดำเนินการแก้ไขได้อย่างสมเหตุสมผล เช่น ปัญหาที่เกิดจากข้อกำหนดทางเทคนิคซึ่ง Kraken จำเป็นต้องปฏิบัติตามเพื่อให้เป็นไปตามมาตรฐานนั้น ๆ
- ผลลัพธ์จากเครื่องมือสแกนอัตโนมัติ หรือรายงานที่สร้างจาก AI
- ประเด็นที่ไม่มีผลกระทบด้านความปลอดภัย
ประเด็นที่ไม่เกี่ยวข้องกับความปลอดภัย
คุณสามารถแจ้งประเด็นที่ไม่เกี่ยวข้องกับความปลอดภัยได้ที่ https://support.kraken.com