В публикация в блог на 30 ноември Coinbase се опита да изясни политиките на своята програма за награди за грешки в отговор на скорошната присъда за нарушаване на данните на Uber.
Компанията заяви, че все още приветства „отговорното“ разкриване на проблеми със сигурността, но потребителите, които злоупотребяват с този процес, няма да получат награди за грешки:
„Ключовата дума във всичко това е „отговорен“. Вследствие на неотдавнашната присъда на Uber, в индустрията има голяма загриженост за това, че подаването на награди за грешки се превръща в опити за изнудване. В Coinbase […] сме обмислили много как управляваме нашата програма за награди за грешки, за да останем от правилната страна на закона.“
Присъдата, за която се позовава Coinbase, беше издадена на 5 октомври. Джо Съливан, бивш шеф по сигурността на Uber, беше признат за виновен в сговор с нападатели за прикриване на доказателства за нарушение на данните, според доклад на Washington Post. Съливан първоначално твърдеше, че нападателите са изпратили пробива като награда за грешки и че компанията им е платила като награда за грешки.
Технологичните компании често използват награди за грешки, за да насърчат белите хакери да открият уязвимости в сигурността и да ги докладват. Но присъдата Съливан повдигна въпроса докъде може да стигне една програма за награди за грешки в присъждането на награди на хакери, без да се наруши самият закон.
В публикацията си Coinbase заяви, че се е натъкнала на някои участници в награди за грешки, които твърдят, че са извършили престъпни действия, които биха попречили на компанията да може законно да извърши изплащане.
Например, участник изпрати множество имейли до екипа, в които казва, че са „напълно дехеширани 306 милиона потребителски данни“ и „байпас“, за да пропуснат 48-часовия период на изчакване на новите устройства. Според Coinbase, ако този човек е имал такава информация, това би означавало, че е получил достъп до клиентски данни извън това, което може да се счита за „добросъвестно“ или „случайно“. В такъв случай Coinbase няма да може да плати наградата.
В този конкретен случай Coinbase казаха, че смятат, че участникът прави невярно твърдение. Участникът не предостави никаква информация, която би позволила твърдението да бъде проверено, така че екипът игнорира искането за награда. Но дори ако лицето, което прави искането, е казвало истината, би било незаконно да му се изплати наградата.
Coinbase също подчерта, че заплахите или други опити за изнудване няма да доведат до изплащане на награда за грешки:
„Най-важното от всичко — подаването на награди за грешки никога не може да съдържа заплахи или опити за изнудване. Винаги сме готови да плащаме премии за законни открития. Исканията за откуп са съвсем различен въпрос.
Практиката да се плащат награди за грешки понякога е противоречива. Критиците казват, че може да насърчи злонамерено поведение, докато поддръжниците казват, че често позволява безопасно откриване на уязвимости. На 19 октомври нападател изтощи пазара Moola децентрализирани финанси (DeFi) приложение с криптовалута на стойност 9 милиона долара. Но когато разработчикът предложи да нека нападателят да задържи $500,000 XNUMX като награда за грешки, нападателят върна останалите 8.5 милиона долара.
Подобна атака се случи на децентрализираната борса, KyberSwap, през септември. В този случай нападателите са откраднали $265,000 XNUMX, а разработчиците им предложи да запазят 15% от средствата, ако биха върнали останалите. Заподозрени по случая по-късно бяха идентифицирани, но средствата не са върнати и изглежда, че хакерите все още са на свобода.
Източник: https://cointelegraph.com/news/coinbase-clarifies-bug-bounty-policy-in-response-to-uber-extortion-verdict