В сообщении в блоге от 30 ноября Coinbase попыталась прояснить свою политику программы вознаграждений за ошибки в ответ на недавний вердикт Uber об утечке данных.
Компания заявила, что по-прежнему приветствует «ответственное» раскрытие проблем безопасности, но пользователи, злоупотребляющие этим процессом, не будут награждены наградами за обнаружение ошибок:
«Ключевое слово во всем этом — «ответственный». После недавнего вердикта Uber в отрасли есть много опасений по поводу того, что заявки на вознаграждение за обнаружение ошибок становятся попытками вымогательства. В Coinbase […] мы много думали о том, как мы используем нашу программу вознаграждения за обнаружение ошибок, чтобы оставаться в рамках закона».
Вердикт, на который ссылалась Coinbase, был вынесен 5 октября. Согласно сообщению Washington Post, бывший глава службы безопасности Uber Джо Салливан был признан виновным в сговоре со злоумышленниками с целью сокрытия доказательств утечки данных. Первоначально Салливан утверждал, что злоумышленники представили брешь в качестве вознаграждения за обнаружение ошибок и что компания заплатила им в качестве вознаграждения за обнаружение ошибок.
Технологические компании часто используют вознаграждение за обнаружение ошибок, чтобы побудить белых хакеров находить уязвимости в системе безопасности и сообщать о них. Но вердикт Салливана поднял вопрос о том, насколько далеко может зайти программа вознаграждения за обнаружение ошибок в присуждении призов хакерам, не нарушая самого закона.
В своем посте Coinbase заявила, что столкнулась с некоторыми участниками баг-баунти, которые утверждают, что совершили преступные действия, которые помешали компании произвести выплату на законных основаниях.
Например, участник отправил команде несколько электронных писем, в которых говорилось, что у них «данные 306 миллионов пользователей полностью расшифрованы» и «обойти», чтобы пропустить 48-часовой период ожидания на новых устройствах. Согласно Coinbase, если бы у этого человека была такая информация, это означало бы, что он получил доступ к данным клиентов за пределами того, что можно было бы считать «добросовестным» или «случайным». В таком случае Coinbase не сможет выплатить вознаграждение.
В этом конкретном случае Coinbase заявила, что, по их мнению, участник делает ложное заявление. Участник не предоставил никакой информации, которая позволила бы проверить претензию, поэтому команда проигнорировала запрос на вознаграждение. Но даже если бы лицо, подавшее заявление, говорило правду, выплата ему вознаграждения была бы незаконной.
Coinbase также подчеркнула, что угрозы или другие попытки вымогательства не приведут к выплате вознаграждения за обнаружение ошибок:
«Самое главное — заявка на баг-баунти никогда не может содержать угроз или попыток вымогательства. Мы всегда готовы платить вознаграждение за законные находки. Требование выкупа — совсем другое дело».
Практика выплаты вознаграждений за ошибки иногда вызывает споры. Критики говорят, что это может поощрять злонамеренное поведение, в то время как сторонники говорят, что это часто позволяет безопасно обнаруживать уязвимости. 19 октября злоумышленник опустошил Moola Market. децентрализованных финансов (DeFi) приложение криптовалюты на сумму 9 миллионов долларов. Но когда разработчик предложил позволить злоумышленнику оставить 500,000 XNUMX долларов в качестве награды за ошибку злоумышленник вернул остальные 8.5 миллиона долларов.
Аналогичная атака произошла на децентрализованной бирже KyberSwap в сентябре. В данном случае злоумышленники украли 265,000 XNUMX долларов, а разработчики предложил оставить себе 15% средств, если они вернут остальные. Подозреваемые в деле позже были идентифицированы, но средства не возвращены, а хакеры, похоже, до сих пор на свободе.
Источник: https://cointelegraph.com/news/coinbase-clarifiers-bug-bounty-policy-in-response-to-uber-extortion-verdict.