Blogiviestissä 30. marraskuuta Coinbase pyrki selventämään virhepalkkio-ohjelmakäytäntöjään vastauksena äskettäiseen Uberin tietomurtotuomioon.
Yhtiö ilmoitti edelleen olevansa tyytyväinen tietoturvaongelmien "vastuulliseen" paljastamiseen, mutta tätä prosessia väärinkäyttäville käyttäjille ei myönnetä virhepalkkioita:
"Avainsana tässä kaikessa on "vastuullisuus". Äskettäisen Uber-tuomion jälkeen teollisuudessa on paljon huolta siitä, että bugipalkkion ilmoittamisesta tulee kiristysyrityksiä. Coinbasessa […] olemme pohtineet paljon sitä, kuinka toimimme bugipalkkio-ohjelmassamme pysyäksemme lain oikealla puolella.”
Tuomio, johon Coinbase viittasi, annettiin 5. lokakuuta. Washington Postin raportin mukaan Joe Sullivan, entinen Uberin turvallisuuspäällikkö, todettiin syylliseksi salaliittoon hyökkääjien kanssa peittääkseen todisteita tietomurrosta. Sullivan oli alun perin väittänyt, että hyökkääjät olivat esittäneet rikkomuksen bugipalkkiona ja että yritys oli maksanut heille bug bounty -palkkiona.
Tekniikkayritykset käyttävät usein bugipalkkioita rohkaistakseen valkohattu-hakkereita löytämään tietoturva-aukkoja ja ilmoittamaan niistä. Mutta Sullivanin tuomio on herättänyt kysymyksen siitä, kuinka pitkälle bug bounty -ohjelma voi mennä palkintojen myöntämisessä hakkereille joutumatta itse lakiin.
Viestissään Coinbase totesi, että se on kohdannut joitakin bug bounty -osallistujia, jotka väittävät syyllistyneensä rikollisiin toimiin, jotka estäisivät yritystä pystymästä laillisesti suorittamaan maksuja.
Esimerkiksi osallistuja lähetti tiimille useita sähköposteja, joissa kerrottiin, että heillä oli "306 miljoonan käyttäjän tiedot kokonaan poistettu" ja "ohitus" 48 tunnin odotusajan ohittamiseksi uusissa laitteissa. Coinbasen mukaan, jos tällä henkilöllä olisi tällaisia tietoja, se tarkoittaisi, että hän pääsi asiakastietoihin enemmän kuin mitä voitaisiin pitää "vilpittömässä mielessä" tai "vahingossa". Siinä tapauksessa Coinbase ei pysty maksamaan palkkiota.
Tässä nimenomaisessa tapauksessa Coinbase sanoi uskovansa, että osallistuja teki väärän väitteen. Osallistuja ei toimittanut tietoja, joiden perusteella väite voitaisiin vahvistaa, joten joukkue jätti huomiotta palkkiopyynnön. Mutta vaikka väitteen esittäjä olisi puhunut totta, palkkion maksaminen hänelle olisi ollut laitonta.
Coinbase korosti myös, että uhkaukset tai muut kiristysyritykset eivät johda virhepalkkioon:
”Kaikista tärkeintä – bugipalkkioilmoitus ei voi koskaan sisältää uhkauksia tai kiristysyrityksiä. Olemme aina avoimia maksamaan palkkioita laillisista löydöistä. Lunnasvaatimukset ovat täysin eri asia."
Virhepalkkioiden maksaminen on joskus kiistanalainen. Kriitikot sanovat, että se voi rohkaista haitalliseen toimintaan, kun taas kannattajat sanovat, että se mahdollistaa usein haavoittuvuuksien löytämisen turvallisesti. 19. lokakuuta hyökkääjä tyhjensi Moola Marketin hajautettu rahoitus (DeFi) sovellus 9 miljoonan dollarin arvosta kryptovaluuttaa. Mutta kun kehittäjä tarjoutui anna hyökkääjän pitää 500,000 XNUMX dollaria bugipalkkiona hyökkääjä palautti loput 8.5 miljoonaa dollaria.
Vastaava hyökkäys tapahtui hajautettuun pörssiin KyberSwapiin syyskuussa. Tässä tapauksessa hyökkääjät varastivat 265,000 XNUMX dollaria ja kehittäjät tarjoutui antamaan heidän pitää 15 % varoista, jos he palauttaisivat loput. Epäillyt jutussa tunnistettiin myöhemmin, mutta varoja ei ole palautettu, ja hakkerit näyttävät edelleen olevan vapaalla.
Lähde: https://cointelegraph.com/news/coinbase-clarifies-bug-bounty-policy-in-response-to-uber-extortion-verdict