Kraken 坚信,安全专业人员和开发者在协助保护我们的产品和用户安全方面发挥了重要的作用。通过我们的漏洞报告奖励计划,Kraken 建立并鼓励协调漏洞披露 (CVD)。漏洞报告奖励计划可以帮助保护数字货币市场中的客户,从而践行 Kraken 的使命。
查找 Kraken 系统中的漏洞,即表示您同意对所有数据、漏洞信息、您的研究以及与 Kraken 的通信进行严格保密,直至 Kraken 解决问题并授予披露许可。
如果符合本政策的要求,对于按照所有公布的 Kraken 漏洞报告奖励政策进行的安全研究(包括出于善意的意外违规行为),Kraken 同意不会提起法律诉讼。
请尽可能创建测试账户,以避免故意侵犯隐私。如果您遇到账户的个人身份信息 (‘PII’) 或其他敏感数据,而您并未获得账户所有者的明确书面同意将这些信息或数据用于验证您的研究结果,请立即停止访问这些数据,并将问题报告给 Kraken,同时附上 PII 或其他敏感数据的描述,而不是数据本身。
根据数据保护法规和我们的隐私政策,您必须:
- 不得存储或传输其他客户的 PII。如果您碰巧捕获了任何客户 PII,请立即向 Kraken 报告,然后销毁所有不属于您的 PII 副本。
- 在研究过程中尽量减少数据的收集和访问。仅收集和保留证明和报告漏洞所必须的信息。
- 提交报告并且 Kraken 确认已收到后,立即安全地删除所有收集的数据。
- 未经 Kraken 明确书面同意,不得向第三方披露任何漏洞或相关信息。这包括但不限于向社交媒体、其他公司或媒体披露。
- 如果您报告的是数据泄露或数据存储库的位置,而不是安全漏洞,请提供数据的位置,不要进一步访问该数据,也不要与他人共享该数据的位置。
提交的漏洞报告奖励绝不能包含威胁或任何敲诈勒索的企图。我们愿意为合法的研究结果支付奖励,但赎金要求不符合支付报酬的条件。例如,在满足其他要求之前,不发布有关漏洞的信息或以其他方式阻碍漏洞的解决将被视为赎金要求。我们可能会根据法律要求或自愿决定报告任何含有赎金要求的提交的漏洞报告奖励。
我们认为,根据《计算机欺诈与滥用法》(CFAA)、《数字千年版权法》(DMCA) 以及适用的反黑客法律(例如,《加州刑法典》第 503(c) 条),符合本政策要求的活动可被视为“经授权”的行为。对于研究者规避我们保护漏洞报告奖励计划范围内应用程序所用技术措施的情况,我们不会对其提起诉讼。但是,遵循本政策并不意味着 Kraken 或任何其他个人、组织或政府可以给予国际法律豁免权。个体安全研究者有责任了解并遵守所有适用的反黑客、数据和隐私以及出口管制方面的本地和国际法律。如果第三方对您提起法律诉讼,而您已遵守本政策中的条款,Kraken 将告知相关执法机构或民事原告,据我们所知,您已依照并遵守本计划的条款和条件开展研究活动。
每名研究者在从事可能不符合本政策或本政策未涉及的行为之前均需向我们提交一份通知。我们欢迎大家政策说明提出各种建议,以帮助研究者满怀信心地开展研究和报告工作。