Заснована у 2011 році біржа цифрових активів Kraken є однією з найбільших і найстаріших бірж у світі з найширшим вибором цифрових активів і національних валют. Торгова платформа Kraken, що базується в Сан-Франциско й має офіси в усьому світі, незмінно оцінюється незалежними ЗМІ як найкраща й найбезпечніша біржа цифрових активів. Платформа Kraken, якій довіряють сотні тисяч трейдерів, установ і офіційних органів включно з банком Fidor Bank, що контролюється німецьким регулятором BaFin, є першою біржею, ринкові дані якої відображаються на терміналі Bloomberg і яка пройшла криптографічний аудит підтвердження резервів, а також першою запропонувала спот-торгівлю з маржею. Серед інвесторів Kraken – Blockchain Capital, Digital Currency Group, Hummingbird Ventures і Money Partners Group.

• За допомогою програми Bug Bounty компанія Kraken закликає до відповідального розкриття вразливостей безпеки.
• Дослідники повинні дотримуватися викладеної в письмовій формі політики. Ця політика не є предметом обговорення.
• Основні правила:
  • Дійте сумлінно та уникайте порушень політики.
  • Не робіть більше, ніж потрібно, щоб довести вразливість. 
  • Не погрожуйте і не вимагайте викуп.
  • Повідомляйте про вразливості, включно з інструкціями та підтвердженням концепції експлойту, одразу після їхнього виявлення та перевірки.
• Дослідники мають дотримуватися всіх чинних законів.
• Спроби обійти або порушити нашу політику призведуть до негайної відмови від участі в цій програмі для відповідного учасника. Погрози або спроби вимагання можуть бути передані до правоохоронних органів.
• Якщо ви в чомусь не впевнені, надішліть запитання на адресу [email protected].

Kraken твердо вірить у цінність послуг фахівців із безпеки й розробників, які допомагають у захисті наших продуктів і користувачів. Компанія Kraken запровадила програму Bug Bounty, щоб заохотити скоординований пошук вразливостей у своїх продуктах. Ініціатива Bug Bounty сприяє реалізації місії Kraken, допомагаючи захистити клієнтів на ринку цифрових валют.

Здійснюючи пошук помилок у системах Kraken, ви погоджуєтеся зберігати абсолютну конфіденційність усіх даних, інформації про вразливості, ваші дослідження й обмін повідомленнями з Kraken, доки Kraken не вирішить проблему й не надасть дозвіл на розкриття інформації. 

У разі дотримання вимог цієї політики Kraken зобов’язується не подавати позовів за дослідження в галузі безпеки, що здійснюються відповідно до всіх опублікованих політик програми Bug Bounty від Kraken, зокрема добросовісні випадкові порушення. 

Просимо уникати навмисних порушень конфіденційності та за можливості створювати тестові облікові записи. Якщо ви зіткнетеся з інформацією, що ідентифікує особу (‘PII’), або іншими конфіденційними даними облікових записів, на використання яких для перевірки ваших знахідок у вас немає письмової згоди власника, негайно припиніть доступ до цих даних і повідомте Kraken про проблему, доклавши до свого звіту опис PII або інших конфіденційних даних, а не самі дані.

Відповідно до вимог законодавства щодо захисту даних і нашої політики конфіденційності, ви маєте дотримуватися наведених далі вимог.

• Не зберігати й не передавати інформацію, що ідентифікує особу (PII) інших клієнтів’. Якщо ви випадково отримали інформацію, що ідентифікує особу (PII) клієнта, негайно повідомте про це Kraken, а потім знищте всі копії інформації, що ідентифікує особу (PII), які не належать вам. 
• Зведіть до мінімуму збір даних і доступ до них під час вашого дослідження. Збирайте й зберігайте лише ту інформацію, яка є абсолютно необхідною для демонстрації вразливості й повідомлення про неї. 
• Негайно й безпечно видаліть усі зібрані дані після того, як звіт буде надіслано й Kraken підтвердить, що його було отримано.
• Не розкривайте будь-які вразливості або пов’язану з ними інформацію третім особам без письмової згоди Kraken.' Це включає окрім іншого соціальні мережі, інші компанії або пресу.
• Якщо ви повідомляєте не про вразливість у системі безпеки, а про інформаційний витік або місцезнаходження сховища даних, надайте інформацію про місцезнаходження цих даних і більше не намагайтеся отримати до них доступ, а також не повідомляйте про їхнє місцезнаходження іншим особам.

Подання bug bounty ніколи не може становити загрозу або передбачати будь-які спроби здирства. Ми відкриті для виплати нагород за законно отримані експериментальні дані, однак на вимоги викупу ніяких виплат не буде. Наприклад, нерозголошення інформації про вразливість або інше перешкоджання усуненню вразливості до виконання інших вимог буде вважатися вимаганням викупу. Законодавство може зобов’язати нас або ми можемо добровільно вирішити повідомити органи влади в разі отримання будь-якого подання bug bounty, яке містить вимоги викупу. 

Ми вважаємо діяльність, що здійснюється відповідно до цієї політики, «дозволеною» відповідно до Закону про боротьбу з комп’ютерним шахрайством і зловживаннями (CFAA), Закону про авторське право в цифрову епоху (DMCA) і чинних законів про боротьбу з комп’ютерним зломом, як-от частина 503(c)“” Кримінального кодексу Каліфорнії. Ми не подаватимемо позовів проти дослідників за обхід технологічних заходів, що ми використовуємо для захисту застосунків, на які поширюється ініціатива Bug Bounty. Однак дотримання цієї політики не означає, що Kraken або будь-яка інша організація чи уряд надаватимуть імунітет від дії міжнародних законів. Індивідуальні дослідники в галузі безпеки несуть відповідальність за розуміння й дотримання всіх застосовних місцевих і міжнародних законів, що стосуються боротьби з комп’ютерним зломом, захисту даних і конфіденційності, а також експортного контролю. Якщо будь-яка третя сторона подає проти вас судовий позов і ви дотримувалися умов цієї політики, Kraken повідомить відповідні правоохоронні органи або цивільних позивачів про те, що ваша дослідницька діяльність, наскільки нам відомо, здійснювалася відповідно до умов використання цієї програми та згідно з ними.

Кожен дослідник повинен повідомити нас перед тим, як брати участь у діях, що можуть бути несумісними із цією політикою або не передбачені нею. Ми заохочуємо будь-які пропозиції щодо роз’яснення цієї політики, які допоможуть дослідникам з упевненістю проводити свої дослідження та повідомляти про їхні результати.

Усі заявки на нагороду оцінюються й оплачуються біржею Kraken залежно від рейтингу вразливості. Усі виплати здійснюватимуться в BTC на ваш підтверджений акаунт Kraken і є орієнтовними, тобто можуть бути змінені.

• Усі повідомлення про помилки необхідно надсилати на адресу [email protected], єдиний офіційний контакт для цієї програми. Не використовуйте зовнішні сайти для надсилання інформації про вразливості. Будь-які зовнішні сайти або портали є неофіційними й не схвалені платформою Kraken.
• Для отримання баг-баунті ви повинні:
  • Пройти реєстрацію на Стандартному рівні. Див. такі статті: Створити обліковий запис:  https://www.kraken.com/sign-up
  • Мати АКТИВНИЙ обліковий запис
  • Надати документи для верифікації. Див. також: https://support.kraken.com/hc/en-us/articles/360000672203-Document-requirements-for-verification
• Прохання про оплату або інше підтвердження в обмін на інформацію про вразливість призведе до негайної відмови у виплаті bounty. Нерозголошення інформації щодо вразливостей також призведе до негайної відмови у виплаті bounty.
• Надайте детальні інструкції для відтворення вразливості й підтвердження концепції.  
• Якщо нам не вдасться відтворити ваші знахідки, ми не зможемо оплатити ваше повідомлення. Використовуйте лише те, що необхідно для виявлення вразливостей у системі безпеки й негайно повертайте всі вилучені активи.
• Розкриття вразливості іншим особам заборонено.
• Будь-яка спроба обійти процедури, описані в цій політиці, призведе до негайної відмови у виплаті bounty. 
• Укажіть свою адресу Bitcoin (BTC) для оплати. Усі нагороди виплачуються в Bitcoin.
• Мінімальні суми виплат указані нижче. Розмір будь-якої виплати може бути змінений на розсуд Kraken.'
• Мінімальна виплата становить еквівалент 500 доларів США в криптовалюті Bitcoin (BTC).

Нижче описано процедуру оброблення інформації, що подають учасники програми Bug Bounty.

1. Повідомлення надходить на поштову скриньку Bug Bounty.

2. Служба безпеки Kraken підтверджує отримання (час за SLA: 1 робочий день).

3. Служба безпеки Kraken отриману інформацію (час за SLA: 10 робочих днів).

4. Служба безпеки Kraken надсилає відповідь із рішенням; якщо виявлено вразливість, повідомлення також містить відомості про ступінь серйозності та суму винагороди (ми уточнимо BTC-адресу).

5. За вразливості в системі безпеки Kraken надішле винагороду (час за SLA: 14 робочих днів).

• 19 повідомлень, за які було виплачено нагороду минулого року
• 424 повідомлення надіслано минулого року
• 2342 дол. США  – середня сума виплати за минулий рік

Нижче наведено інформацію про деяких із дослідників, які раніше були нагороджені за програмою Bug Bounty від Kraken.

Критичний рівень

Уразливості критичного рівня серйозності представляють собою пряму й безпосередню небезпеку для широкого кола наших користувачів або напряму для біржі Kraken. Вони часто впливають на відносно низькорівневі й базові компоненти в одному з наших програмних стеків або інфраструктурі. Наприклад:

• довільне виконання коду чи команд на сервері в нашій робочій мережі;
• довільні запити до робочої бази даних;
• обхід нашої системи входу на основі пароля або 2FA;
• доступ до конфіденційних робочих даних користувачів або внутрішніх робочих систем.

Максимум

Уразливості високого рівня серйозності дають зловмиснику змогу переглядати або змінювати конфіденційні дані, до яких у нього не повинно бути доступу. Вони зазвичай менші за масштабом, ніж проблеми критичного рівня, хоча все одно можуть надати зловмиснику широких прав доступу. Наприклад:

• XSS в обхід CSP
• Виявлення конфіденційних даних користувача на загальнодоступному ресурсі
• Отримання доступу до некритичної системи, до якої в облікового запису кінцевого користувача не повинно бути доступу

Середній

Уразливості середнього рівня серйозності дають зловмиснику змогу переглядати або змінювати дані обмеженого обсягу, до яких у нього не повинно бути доступу. Зазвичай вони відкривають доступ до менш важливої інформації, ніж уразливості високого рівня серйозності. Наприклад:

• Розкриття неконфіденційної інформації з робочої системи, до якої в користувача не повинно бути доступу
• XSS, що не обходить CSP або не здійснює важливих дій у сеансі іншого користувача’
• CSRF для дій із низьким рівнем ризику

Мінімум

Уразливості низького рівня серйозності дають зловмиснику доступ до даних дуже обмеженого обсягу. Вони можуть порушити нормальну роботу певних аспектів системи, але майже не допускають ескалації привілеїв зловмисника або можливості ініціювати неприпустимі дії. Наприклад:

• Перегляд сторінок із докладним журналом подій або помилок без доведеної можливості скористатися цією вразливістю або отримати конфіденційну інформацію.

Невідповідність критеріям

Звіти, в яких ми не зацікавлені і які не мають права на отримання нагороди, включають в себе наведені далі категорії.

• Уразливості на сайтах, розміщених на сторонніх ресурсах (support.kraken.com тощо), якщо вони не призводять до вразливості на основному сайті. Уразливості й помилки в блозі Kraken (blog.kraken.com).
• Уразливості, для використання яких потрібні фізичні атаки, заходи соціальної інженерії, спам-розсилки, DDOS-атаки тощо.
• Уразливості в застарілих або неоновлених браузерах.
• Уразливості в сторонніх застосунках, що використовують API Kraken.'
• Уразливості в сторонніх бібліотеках або технологіях, які використовуються в продуктах, сервісах або інфраструктурі Kraken і про які було публічно повідомлено раніше ніж через 30 днів після розкриття інформації про проблему.
• Уразливості, які були оприлюднені до того, як компанія Kraken випустила для них комплексне виправлення.
• Уразливості, про які нам вже відомо або про які вже повідомив хтось інший (нагорода йде першому досліднику, хто її виявив).
• Проблеми, які неможливо відтворити.'
• Уразливості, що вимагають практично неможливих дій із боку користувача.
• Уразливості, що вимагають наявності root-доступу (або т. з. джейлбрейка) на мобільному пристрої.
• Відсутні заголовки безпеки без доведеної можливості скористатися цією вразливістю.
• Пропозиції щодо наборів шифрів TLS.
• Пропозиції з рекомендаціями та порадами.
• Розкриття версії програмного забезпечення.
• Будь-який звіт без детальних покрокових інструкцій і без доказу принципової можливості скористатися вразливістю.
• Проблеми, з якими ми не можемо нічого зробити, наприклад у технічних специфікаціях, які Kraken має реалізувати відповідно до стандартів.'
• Результати роботи автоматизованих інструментів чи засобів сканування або звіти, згенеровані штучним інтелектом..
• Проблеми, що ніяк не впливають на безпечність системи.

Проблеми, що не стосуються безпеки

Повідомити нам про проблеми, що не стосуються безпеки, можна за адресою https://support.kraken.com.