W poście na blogu z 30 listopada Coinbase starał się wyjaśnić swoje zasady programu nagród za błędy w odpowiedzi na niedawny werdykt dotyczący naruszenia danych Ubera.
Firma stwierdziła, że nadal z zadowoleniem przyjmuje „odpowiedzialne” ujawnianie problemów związanych z bezpieczeństwem, ale użytkownicy, którzy nadużywają tego procesu, nie otrzymają nagród za błędy:
„Kluczowym słowem w tym wszystkim jest „odpowiedzialność”. W następstwie niedawnego werdyktu Ubera w branży istnieje wiele obaw związanych z tym, że zgłaszanie nagród za błędy staje się próbą wymuszenia. W Coinbase […] dużo przemyśleliśmy, w jaki sposób obsługujemy nasz program nagród za błędy, aby pozostać po właściwej stronie prawa”.
Werdykt, o którym wspominała Coinbase, został wydany 5 października. Joe Sullivan, były szef bezpieczeństwa Ubera, został uznany za winnego zmowy z atakującymi w celu ukrycia dowodów naruszenia danych, zgodnie z raportem Washington Post. Sullivan początkowo twierdził, że napastnicy zgłosili naruszenie jako nagrodę za błąd i że firma zapłaciła im jako nagrodę za błąd.
Firmy technologiczne często wykorzystują nagrody za błędy, aby zachęcić hakerów w białych kapeluszach do znajdowania luk w zabezpieczeniach i zgłaszania ich. Jednak werdykt w sprawie Sullivan podniósł pytanie, jak daleko program nagród za błędy może się posunąć w przyznawaniu nagród hakerom bez naruszania samego prawa.
W swoim poście Coinbase stwierdził, że napotkał niektórych uczestników nagród za błędy, którzy twierdzą, że popełnili przestępstwa, które uniemożliwiłyby firmie legalne dokonanie wypłaty.
Na przykład uczestnik przesłał zespołowi wiele e-maili z informacją, że „dane 306 milionów użytkowników zostały całkowicie odszyfrowane” i „obejście”, aby pominąć 48-godzinny okres oczekiwania na nowych urządzeniach. Według Coinbase, gdyby ta osoba posiadała takie informacje, oznaczałoby to, że uzyskała dostęp do danych klientów wykraczający poza to, co można by uznać za „dobrą wiarę” lub „przypadkowość”. W takim przypadku Coinbase nie byłby w stanie zapłacić nagrody.
W tym konkretnym przypadku Coinbase powiedział, że wierzy, że uczestnik składa fałszywe twierdzenie. Uczestnik nie podał żadnych informacji, które pozwoliłyby zweryfikować zgłoszenie, więc zespół zignorował prośbę o nagrodę. Ale nawet gdyby osoba zgłaszająca roszczenie mówiła prawdę, wypłacenie jej nagrody byłoby niezgodne z prawem.
Coinbase podkreślił również, że groźby lub inne próby wymuszenia nie spowodują wypłaty nagrody za błąd:
„Co najważniejsze — zgłoszenie nagrody za błąd nigdy nie może zawierać gróźb ani prób wymuszenia. Zawsze jesteśmy otwarci na płacenie nagród za uzasadnione ustalenia. Żądania okupu to zupełnie inna sprawa”.
Praktyka płacenia nagród za błędy jest czasami kontrowersyjna. Krytycy twierdzą, że może to zachęcać do złośliwych zachowań, podczas gdy zwolennicy twierdzą, że często umożliwia bezpieczne wykrywanie luk w zabezpieczeniach. 19 października atakujący opróżnił rynek Moola zdecentralizowane finanse (DeFi) aplikacja kryptowaluty o wartości 9 milionów dolarów. Ale kiedy deweloper zaoferował niech atakujący zatrzyma 500,000 XNUMX $ jako nagrodę za błąd, atakujący zwrócił pozostałe 8.5 miliona dolarów.
Podobny atak miał miejsce we wrześniu na zdecentralizowanej giełdzie KyberSwap. W tym przypadku napastnicy ukradli 265,000 XNUMX $, a programiści zaproponował im zatrzymanie 15% środków, gdyby zwrócili resztę. Podejrzani w sprawie zostały później zidentyfikowane, ale środki nie zostały zwrócone, a hakerzy nadal są na wolności.
Źródło: https://cointelegraph.com/news/coinbase-clarify-bug-bounty-policy-in-response-to-uber-extortion-verdict