Într-o postare pe blog din 30 noiembrie, Coinbase a încercat să clarifice politicile programului de recompense pentru erori ca răspuns la recentul verdict Uber privind încălcarea datelor.
Compania a declarat că încă salută dezvăluirea „responsabilă” a problemelor de securitate, dar utilizatorii care abuzează de acest proces nu vor primi recompense pentru erori:
„Cuvântul cheie în toate acestea este „responsabil”. În urma verdictului recent Uber, există o mare îngrijorare în industrie cu privire la trimiterile de recompense pentru erori care devin încercări de extorcare. La Coinbase, […] ne-am gândit mult la modul în care operăm programul nostru de recompense pentru erori pentru a rămâne pe partea dreaptă a legii.”
Verdictul la care se referea Coinbase a fost emis pe 5 octombrie. Joe Sullivan, fostul șef al securității Uber, a fost găsit vinovat de colaborare cu atacatorii pentru a acoperi dovezile unei încălcări a datelor, potrivit unui raport al Washington Post. Sullivan a susținut inițial că atacatorii au prezentat încălcarea ca recompensă pentru erori și că compania le-a plătit ca recompensă pentru erori.
Companiile de tehnologie folosesc adesea recompense pentru erori pentru a-i încuraja pe hackerii cu pălărie albă să găsească vulnerabilități de securitate și să le raporteze. Însă, verdictul Sullivan a ridicat întrebarea cât de departe poate merge un program de recompense pentru erori în acordarea de premii hackerilor fără a încălca legea în sine.
În postarea sa, Coinbase a declarat că a întâlnit câțiva participanți la recompensă de erori care pretind că au comis acțiuni criminale care ar împiedica compania să poată efectua legal o plată.
De exemplu, un participant a trimis mai multe e-mailuri echipei spunând că are „datele de 306 milioane de utilizatori complet eliminate” și o „ocolire” pentru a ignora perioada de așteptare de 48 de ore pe dispozitivele noi. Potrivit Coinbase, dacă această persoană ar avea astfel de informații, ar însemna că a accesat datele clienților dincolo de ceea ce ar putea fi considerat „bună-credință” sau „accidental”. Într-un astfel de caz, Coinbase nu ar putea plăti recompensă.
În acest caz particular, Coinbase a spus că credea că participantul face o afirmație falsă. Participantul nu a furnizat nicio informație care să permită verificarea revendicării, așa că echipa a ignorat cererea de recompensă. Dar chiar dacă persoana care a afirmat ar fi spus adevărul, ar fi fost ilegal să-i plătească recompensa.
Coinbase a subliniat, de asemenea, că amenințările sau alte încercări de extorcare nu vor avea ca rezultat plata unei recompense pentru erori:
„Cel mai important dintre toate – o trimitere de recompensă pentru erori nu poate conține niciodată amenințări sau încercări de extorcare. Suntem întotdeauna deschiși să plătim recompense pentru constatări legitime. Cererile de răscumpărare sunt o chestiune cu totul diferită.”
Practica plății recompenselor pentru erori este uneori controversată. Criticii spun că poate încuraja comportamentul rău intenționat, în timp ce susținătorii spun că permite adesea descoperirea în siguranță a vulnerabilităților. Pe 19 octombrie, un atacator a drenat Piața Moola finanțe descentralizate (DeFi) aplicație criptomonedă în valoare de 9 milioane USD. Dar când dezvoltatorul s-a oferit lăsați atacatorul să păstreze 500,000 de dolari ca recompensă pentru erori, atacatorul a returnat celelalte 8.5 milioane de dolari.
Un atac similar a avut loc asupra schimbului descentralizat, KyberSwap, în septembrie. În acest caz, atacatorii au furat 265,000 de dolari, iar dezvoltatorii sa oferit să-i lase să păstreze 15% a fondurilor dacă ar returna restul. Suspecți în dosar au fost identificate ulterior, dar fondurile nu au fost returnate, iar hackerii par să fie încă în libertate.
Sursa: https://cointelegraph.com/news/coinbase-clarifies-bug-bounty-policy-in-response-to-uber-extortion-verdict