Kraken
Security Labs
Kraken là sàn giao dịch tài sản kỹ thuật số an toàn nhất vì bảo mật là ưu tiên hàng đầu trong mọi hoạt động của chúng tôi – thực tế, chúng tôi có nhiều nhóm chuyên gia đẳng cấp thế giới chuyên kiểm tra các sản phẩm và dịch vụ của mình.
Mặc dù chúng tôi có thể bảo mật đến mức nào, chúng tôi biết thành công của chúng tôi gắn liền với thành công của những người khác trong cộng đồng tiền điện tử.
Kraken
Security Labs
Đó là lý do chúng tôi thành lập Kraken Security Labs, một đội ngũ gồm các nhà nghiên cứu bảo mật ưu tú nhằm bảo vệ và phát triển hệ sinh thái tiền điện tử bằng cách:
Thử nghiệm các sản phẩm và dịch vụ phổ biến của bên thứ ba
Làm việc với các nhà cung cấp để khắc phục những vấn đề đó
Thông báo cho công chúng về những cách họ có thể tự bảo vệ mình tốt nhất
Cam kết công bố có trách nhiệm
Khi nhà nghiên cứu bảo mật phát hiện lỗ hổng, cách tốt nhất là liên hệ với nhà cung cấp để nhà cung cấp có thể khắc phục sự cố.
Về mặt lý thuyết thì đơn giản, nhưng thực tế có thể phát sinh nhiều vấn đề:
Điều gì sẽ xảy ra nếu nhà cung cấp bị ảnh hưởng không phản hồi?
Có thể nhà cung cấp không muốn thừa nhận vấn đề hoặc họ không có chương trình phần thưởng phát hiện lỗi.
Nhà cung cấp sẽ có thời gian bao lâu để khắc phục sự cố?
Một số vấn đề bảo mật không dễ khắc phục và các nhà cung cấp thường muốn ưu tiên các tính năng mới thay vì khắc phục sự cố.
Nhà nghiên cứu có nên công bố vấn đề này cho công chúng không và nếu có thì khi nào?
Mọi hacker mũ trắng đều lo lắng vấn đề họ tìm ra đã bị kẻ xấu biết đến và đang lợi dụng. Mỗi khoảnh khắc một nhà cung cấp chưa phát hành bản sửa lỗi là một khoảnh khắc mà công chúng chìm trong bóng tối và không được trang bị kiến thức để tự bảo vệ mình. Công bố công khai là đòn bẩy duy nhất mà các nhà nghiên cứu có thể gây áp lực buộc nhà cung cấp phải khắc phục vấn đề.
Nói đơn giản, mỗi người hiểu trách nhiệm công bố lỗ hổng bảo mật theo một cách khác nhau – và việc cân bằng giữa nhu cầu của nhà cung cấp và người dùng vốn dĩ không hề dễ dàng.
Chúng tôi thực sự tin rằng các đội ngũ nghiên cứu như chúng tôi cần phải hợp tác với các nhà cung cấp để khắc phục các vấn đề ở sản phẩm của họ và công bố cho công chúng.
Để theo đuổi mục tiêu đó, Kraken Security Labs đã công bố và làm việc với các nhà cung cấp để khắc phục sự cố trên nhiều sản phẩm và dịch vụ tiền điện tử. Thông tin chi tiết về chính sách công bố lỗ hổng bảo mật của chúng tôi được công bố tại đây.
Ví phần cứng tiền điện tử
Chúng tôi không cho rằng bạn nên lưu trữ tất cả tiền của mình trên bất kỳ sàn giao dịch nào, kể cả của chúng tôi.
Đó là lý do chúng tôi thường xuyên mua và kiểm tra các sản phẩm giúp khách hàng tự lưu trữ và tự quản lý tài sản tiền điện tử của mình.
Chúng tôi đã công bố các vấn đề và lời khuyên cho các sản phẩm sau đây:
Dịch vụ tiền điện tử
Tại Kraken, chúng tôi khuyến khích tất cả khách hàng thử nghiệm và xác minh bất kỳ dịch vụ tiền điện tử nào mà họ có thể sẽ quyết định tin tưởng giao tiền hoặc dữ liệu của mình.
Chúng tôi đã công bố các vấn đề và khuyến cáo cho các dịch vụ sau:
Triết lý công bố của chúng tôi
Bạn đang nghe những thông tin trái chiều về một công bố của Kraken Security Labs?
Đây là điều bình thường – nhà cung cấp và nhà nghiên cứu thường không đồng thuận về mức độ nghiêm trọng của một vấn đề.
Nói đơn giản, nhà nghiên cứu muốn công trình của mình tạo ra tác động tối đa, còn nhà cung cấp thường có xu hướng thu nhỏ phạm vi của vấn đề.
Diễn giải mức độ nghiêm trọng
Các lỗ hổng bảo mật thường được xếp loại mức độ nghiêm trọng từ Thấp đến Nghiêm trọng, nhưng không phải tất cả các lỗ hổng do Kraken Security Labs hoặc các nhà nghiên cứu khác công bố đều sẽ ở mức Nghiêm trọng.
Tuy nhiên, chúng tôi tin rằng điều quan trọng là những lỗi này phải được công bố.
Ngay cả một số lỗ hổng có mức độ nghiêm trọng thấp, trung bình và cao cũng có thể bị kẻ tấn công sử dụng theo cách phối hợp để gây ra tác động lớn đến thiết bị mục tiêu.
Lợi ích gộp
Việc công bố các phát hiện này có thể mở ra thêm nhiều hướng nghiên cứu mới.
Các nhà nghiên cứu bảo mật thường dựa trên thành quả của người khác để công bố những vấn đề cần được khắc phục nhưng chưa đến mức gây nguy hại toàn diện, cũng như công bố các nghiên cứu mà nhà cung cấp không cho là cần khắc phục ngay.
Vì vậy, một nhà nghiên cứu bảo mật sẽ là thiếu trách nhiệm nếu im lặng chỉ vì không tìm thấy lỗ hổng nào ở mức Nghiêm trọng.
Chúng tôi cố gắng công bố sao cho dễ hiểu và minh bạch nhất có thể với công chúng để bạn có thể đưa ra những lựa chọn sáng suốt về mức độ nghiêm trọng của vấn đề.
Cùng nhau xây dựng một ngành vững chắc hơn
Không riêng Kraken, nhiều bên trong ngành đều tin rằng khi các nhóm nghiên cứu và nhà cung cấp cùng hợp tác, toàn bộ hệ sinh thái sẽ vững mạnh và an toàn hơn.
Như bạn có thể thấy từ những lời chứng thực bên dưới, Kraken Security Labs phù hợp với các giá trị và nhu cầu của ngành tiền điện tử.
Chúng tôi rất vui khi Kraken Security Labs đang đầu tư nguồn lực của họ vào việc cải thiện tính bảo mật của toàn bộ hệ sinh thái Bitcoin. Chúng tôi trân trọng hình thức công bố và hợp tác có trách nhiệm này.
CoolBitX xin gửi lời cảm ơn nồng nhiệt nhất đến đội ngũ Kraken Security Labs vì đã xem xét kỹ lưỡng khả năng phục hồi của các quy trình bảo mật của CoolWallet S chi tiết đến vậy. Việc cung cấp góc nhìn mới mẻ và chuyên nghiệp về các vector tấn công và các lỗ hổng thiết bị khả thi là vô giá đối với đội ngũ của chúng tôi và cộng đồng mà chúng tôi phục vụ.
Chúng tôi cũng muốn dành một chút thời gian để cảm ơn Kraken vì công việc đáng kinh ngạc của họ. Chúng tôi đánh giá cao vị thế tương tự mà họ đảm nhận với tư cách là đội ngũ Ledger Donjon của chúng tôi: làm phần việc của mình để tăng cường tính bảo mật của toàn bộ ngành công nghiệp tiền điện tử.
Hãy theo dõi chúng tôi!
Để theo dõi công việc của chúng tôi và cập nhật thông báo của chúng tôi, hãy đánh dấu trang blog chính thức của chúng tôi hoặc nhập địa chỉ email của bạn để đăng ký và nhận thông báo về các bài đăng mới qua email.