V blogovom príspevku z 30. novembra sa Coinbase v reakcii na nedávny verdikt týkajúci sa porušenia údajov Uber snažil objasniť svoje zásady programu odmeňovania chýb.
Spoločnosť uviedla, že stále víta „zodpovedné“ zverejňovanie bezpečnostných problémov, ale používateľom, ktorí tento proces zneužijú, nebudú udelené odmeny za chyby:
"Kľúčové slovo v tomto všetkom je 'zodpovedný'." V dôsledku nedávneho verdiktu Uber je v tomto odvetví veľké obavy z toho, že podanie odmeny za chybu sa stane pokusom o vydieranie. V Coinbase […] sme veľa premýšľali o tom, ako prevádzkujeme náš program odmien za chyby, aby sme zostali na správnej strane zákona.“
Verdikt, na ktorý sa Coinbase odvolával, bol vydaný 5. októbra. Joe Sullivan, bývalý šéf bezpečnosti Uberu, bol podľa správy Washington Post uznaný vinným z tajnej dohody s útočníkmi s cieľom zakryť dôkazy o porušení údajov. Sullivan pôvodne tvrdil, že útočníci predložili porušenie ako odmenu za chyby a že spoločnosť im zaplatila ako odmenu za chyby.
Technické spoločnosti často využívajú odmeny za chyby, aby povzbudili hackerov, aby našli bezpečnostné chyby a nahlásili ich. Verdikt Sullivan však vyvolal otázku, ako ďaleko môže program odmeny za chyby zájsť pri udeľovaní cien hackerom bez toho, aby sa dostal do rozporu so samotným zákonom.
Coinbase vo svojom príspevku uviedla, že sa stretla s niektorými účastníkmi bug bounty, ktorí tvrdia, že spáchali trestné činy, ktoré by spoločnosti zabránili legálne uskutočniť výplatu.
Účastník napríklad poslal tímu viacero e-mailov, v ktorých uviedol, že má „úplne odhašované údaje o 306 miliónoch používateľov“ a „obchádzanie“ na preskočenie 48-hodinovej čakacej doby na nových zariadeniach. Podľa Coinbase, ak by táto osoba mala takéto informácie, znamenalo by to, že pristupovala k údajom zákazníkov nad rámec toho, čo by sa dalo považovať za „dobrú vieru“ alebo „náhodu“. V takom prípade by Coinbase nebola schopná vyplatiť odmenu.
V tomto konkrétnom prípade Coinbase uviedli, že veria, že účastník uvádza nepravdivé tvrdenie. Účastník neposkytol žiadne informácie, ktoré by umožňovali overenie nároku, takže tím ignoroval žiadosť o odmenu. Ale aj keby osoba, ktorá tvrdí, hovorila pravdu, bolo by nezákonné vyplatiť jej odmenu.
Coinbase tiež zdôraznil, že hrozby alebo iné pokusy o vydieranie nebudú mať za následok vyplatenie odmeny za chyby:
„Najdôležitejšie zo všetkého — podanie odmeny za chybu nikdy nemôže obsahovať vyhrážky ani pokusy o vydieranie. Sme vždy otvorení vyplateniu odmien za legitímne zistenia. Požiadavky na výkupné sú úplne iná záležitosť."
Prax vyplácania odmien za chyby je niekedy kontroverzná. Kritici tvrdia, že môže podporovať škodlivé správanie, zatiaľ čo priaznivci tvrdia, že často umožňuje bezpečné odhalenie zraniteľností. 19. októbra vyčerpal útočník Moola Market decentralizované financovanie (DeFi) aplikáciu kryptomeny v hodnote 9 miliónov dolárov. Ale keď sa developer ponúkol nech si útočník nechá 500,000 XNUMX dolárov ako odmenu za chyby útočník vrátil ďalších 8.5 milióna dolárov.
K podobnému útoku došlo v septembri na decentralizovanej burze KyberSwap. V tomto prípade útočníci ukradli 265,000 XNUMX dolárov a vývojári ponúkol im nechať 15 % finančných prostriedkov, ak by vrátili zvyšok. Podozriví v prípade boli neskôr identifikované, ale prostriedky sa nevrátili a zdá sa, že hackeri sú stále na slobode.
Zdroj: https://cointelegraph.com/news/coinbase-clarifying-bug-bounty-policy-in-response-to-uber-extortion-verdict