Kraken
Security Labs
Kraken là sàn giao dịch tài sản kỹ thuật số bảo mật nhất vì chúng tôi chung sống với bảo mật. Trên thực tế, chúng tôi có nhiều đội ngũ đẳng cấp thế giới chuyên thử nghiệm các sản phẩm và dịch vụ của mình.
Mặc dù chúng tôi có thể bảo mật đến mức nào, chúng tôi biết thành công của chúng tôi gắn liền với thành công của những người khác trong cộng đồng tiền điện tử.
Kraken
Security Labs
Đó là lý do chúng tôi thành lập Kraken Security Labs, một đội ngũ gồm các nhà nghiên cứu bảo mật ưu tú nhằm bảo vệ và phát triển hệ sinh thái tiền điện tử bằng cách:
Thử nghiệm các sản phẩm và dịch vụ phổ biến của bên thứ ba
Làm việc với các nhà cung cấp để khắc phục những vấn đề đó
Thông báo cho công chúng về những cách họ có thể tự bảo vệ mình tốt nhất
Cam kết công bố có trách nhiệm
Khi nhà nghiên cứu bảo mật phát hiện lỗ hổng, cách tốt nhất là liên hệ với nhà cung cấp để nhà cung cấp có thể khắc phục sự cố.
Về mặt lý thuyết thì đơn giản, nhưng thực tế có thể phát sinh nhiều vấn đề:
Điều gì sẽ xảy ra nếu nhà cung cấp bị ảnh hưởng không phản hồi?
Có thể nhà cung cấp không muốn thừa nhận vấn đề hoặc họ không có chương trình phần thưởng phát hiện lỗi.
Nhà cung cấp sẽ có thời gian bao lâu để khắc phục sự cố?
Một số vấn đề bảo mật không dễ khắc phục và các nhà cung cấp thường muốn ưu tiên các tính năng mới thay vì khắc phục sự cố.
Nhà nghiên cứu có nên công bố vấn đề này cho công chúng không và nếu có thì khi nào?
Mọi hacker mũ trắng đều lo lắng vấn đề họ tìm ra đã bị kẻ xấu biết đến và đang lợi dụng. Mỗi khoảnh khắc một nhà cung cấp chưa phát hành bản sửa lỗi là một khoảnh khắc mà công chúng chìm trong bóng tối và không được trang bị kiến thức để tự bảo vệ mình. Công bố công khai là đòn bẩy duy nhất mà các nhà nghiên cứu có thể gây áp lực buộc nhà cung cấp phải khắc phục vấn đề.
Nói một cách đơn giản thì việc công bố các lỗ hổng một cách có trách nhiệm có ý nghĩa khác nhau đối với mọi người – vốn dĩ việc cân bằng nhu cầu của nhà cung cấp và người dùng là rất khó.
Chúng tôi thực sự tin rằng các đội ngũ nghiên cứu như chúng tôi cần phải hợp tác với các nhà cung cấp để khắc phục các vấn đề ở sản phẩm của họ và công bố cho công chúng.
Để theo đuổi mục tiêu đó, Kraken Security Labs đã công bố và làm việc với các nhà cung cấp để khắc phục sự cố trên nhiều sản phẩm và dịch vụ tiền điện tử. Chi tiết về chính sách công bố lỗ hổng bảo mật của chúng tôi được đăng tại đây.
Ví phần cứng tiền điện tử
Chúng tôi không nghĩ bạn nên lưu trữ tất cả số tiền của mình trên bất kỳ sàn giao dịch nào, kể cả sàn của chúng tôi.
Đó là lý do chúng tôi thường xuyên mua và thử nghiệm các sản phẩm cung cấp cho khách hàng khả năng lưu trữ và tự quản lý tài sản tiền điện tử của họ.
Chúng tôi đã công bố các vấn đề và lời khuyên cho các sản phẩm sau đây:
Dịch vụ tiền điện tử
Tại Kraken, chúng tôi khuyến khích tất cả khách hàng thử nghiệm và xác minh bất kỳ dịch vụ tiền điện tử nào mà họ có thể sẽ quyết định tin tưởng giao tiền hoặc dữ liệu của mình.
Chúng tôi đã công bố các vấn đề và lời khuyên cho các dịch vụ sau đây:
Triết lý công bố của chúng tôi
Bạn thấy có người báo cáo về sự mâu thuẫn trong công bố của Kraken Security Labs?
Việc các nhà cung cấp và nhà nghiên cứu không đồng ý về mức độ nghiêm trọng của vấn đề là điều bình thường.
Nói một cách đơn giản thì các nhà nghiên cứu muốn công việc của họ có tác động tối đa, trong khi các nhà cung cấp thường muốn hạ thấp mức độ của vấn đề.
Diễn giải mức độ nghiêm trọng
Các lỗ hổng bảo mật thường có mức độ nghiêm trọng từ Thấp đến Nghiêm trọng, nhưng không phải tất cả lỗ hổng được Kraken Security Labs hoặc các nhà nghiên cứu khác công bố đều là Nghiêm trọng.
Tuy nhiên, chúng tôi tin rằng điều quan trọng là những lỗi này phải được công bố.
Ngay cả một số lỗ hổng có mức độ nghiêm trọng thấp, trung bình và cao cũng có thể bị kẻ tấn công sử dụng theo cách phối hợp để gây ra tác động lớn đến thiết bị mục tiêu.
Lợi ích gộp
Việc công bố những phát hiện này có thể tạo ra thêm công việc.
Các nhà nghiên cứu bảo mật thường xây dựng dựa trên công trình của người khác, đưa ra các vấn đề cần được khắc phục nhưng không cho phép thỏa hiệp hoàn toàn và đưa ra nghiên cứu mà nhà cung cấp ngay lập tức cho rằng không đáng để khắc phục.
Vì điều này mà nhà nghiên cứu bảo mật sẽ không có trách nhiệm giữ im lặng vì họ không thấy vấn đề có mức độ Nghiêm trọng.
Chúng tôi cố gắng công bố sao cho dễ hiểu và minh bạch nhất có thể với công chúng để bạn có thể đưa ra những lựa chọn sáng suốt về mức độ nghiêm trọng của vấn đề.
Cùng nhau xây dựng một ngành vững chắc hơn
Không chỉ Kraken tin rằng ngành này sẽ phát triển mạnh mẽ và bảo mật hơn khi các đội ngũ nghiên cứu và nhà cung cấp làm việc cùng nhau.
Như bạn có thể thấy từ những lời chứng thực bên dưới, Kraken Security Labs phù hợp với các giá trị và nhu cầu của ngành tiền điện tử.
Chúng tôi rất vui khi Kraken Security Labs đang đầu tư nguồn lực của họ vào việc cải thiện tính bảo mật của toàn bộ hệ sinh thái Bitcoin. Chúng tôi trân trọng hình thức công bố và hợp tác có trách nhiệm này.
CoolBitX xin gửi lời cảm ơn nồng nhiệt nhất đến đội ngũ Kraken Security Labs vì đã xem xét kỹ lưỡng khả năng phục hồi của các quy trình bảo mật của CoolWallet S chi tiết đến vậy. Việc cung cấp góc nhìn mới mẻ và chuyên nghiệp về các vector tấn công và các lỗ hổng thiết bị khả thi là vô giá đối với đội ngũ của chúng tôi và cộng đồng mà chúng tôi phục vụ.
Chúng tôi cũng muốn dành một chút thời gian để cảm ơn Kraken vì công việc đáng kinh ngạc của họ. Chúng tôi đánh giá cao vị thế tương tự mà họ đảm nhận với tư cách là đội ngũ Ledger Donjon của chúng tôi: làm phần việc của mình để tăng cường tính bảo mật của toàn bộ ngành công nghiệp tiền điện tử.
Hãy theo dõi chúng tôi!
Để theo dõi công việc của chúng tôi và cập nhật thông báo của chúng tôi, hãy đánh dấu trang blog chính thức của chúng tôi hoặc nhập địa chỉ email của bạn để đăng ký và nhận thông báo về các bài đăng mới qua email.