V příspěvku na blogu z 30. listopadu se Coinbase snažila objasnit své zásady programu odměn za chyby v reakci na nedávný verdikt Uberu o porušení dat.
Společnost uvedla, že stále vítá „zodpovědné“ zveřejňování bezpečnostních problémů, ale uživatelům, kteří tento proces zneužijí, nebudou uděleny odměny za chyby:
„Klíčovým slovem v tom všem je ‚odpovědnost‘. V návaznosti na nedávný verdikt ohledně Uberu je v tomto odvětví velké obavy z toho, že se zasílání odměn za chyby stanou pokusy o vydírání. V Coinbase […] jsme hodně přemýšleli o tom, jak provozujeme náš program odměn za chyby, abychom zůstali na správné straně zákona.“
Verdikt, na který Coinbase odkazovala, byl vydán 5. října. Joe Sullivan, bývalý šéf bezpečnosti Uberu, byl podle zprávy Washington Post shledán vinným z tajné dohody s útočníky, aby zakryl důkazy o úniku dat. Sullivan původně tvrdil, že útočníci předložili porušení jako odměnu za chyby a že jim společnost zaplatila jako odměnu za chyby.
Technologické společnosti často využívají odměny za chyby, aby povzbudily hackery, aby našli slabá místa zabezpečení a nahlásili je. Verdikt Sullivan však vyvolal otázku, jak daleko může zajít program odměn za chyby při udělování cen hackerům, aniž by se dostal do rozporu se samotným zákonem.
Coinbase ve svém příspěvku uvedla, že se setkala s některými účastníky bug bounty, kteří tvrdí, že se dopustili trestných činů, které by společnosti zabránily legálně provést výplatu.
Účastník například poslal týmu několik e-mailů, v nichž uvedl, že „úplně dehašoval údaje o 306 milionech uživatelů“ a „obejít“, aby se na nových zařízeních vynechala 48hodinová čekací doba. Podle Coinbase, pokud by tato osoba měla takové informace, znamenalo by to, že přistupovala k údajům zákazníků nad rámec toho, co by se dalo považovat za „dobrou víru“ nebo „náhodu“. V takovém případě by Coinbase nebyla schopna vyplatit odměnu.
V tomto konkrétním případě Coinbase uvedli, že se domnívají, že účastník činí nepravdivé tvrzení. Účastník neuvedl žádné informace, které by umožnily nárok ověřit, takže tým ignoroval žádost o odměnu. Ale i kdyby osoba, která nárok uvedla, mluvila pravdu, bylo by nezákonné vyplatit jim odměnu.
Coinbase také zdůraznil, že hrozby nebo jiné pokusy o vydírání nepovedou k vyplacení odměny za chyby:
"Nejdůležitější ze všeho je, že odeslaná odměna za chyby nemůže nikdy obsahovat výhružky ani pokusy o vydírání." Jsme vždy otevřeni vyplácení odměn za legitimní nálezy. Požadavky na výkupné jsou úplně jiná věc."
Praxe vyplácení odměn za chyby je někdy kontroverzní. Kritici říkají, že může podporovat škodlivé chování, zatímco příznivci tvrdí, že často umožňuje bezpečné odhalení zranitelnosti. 19. října vyčerpal útočník Moola Market decentralizované financování (DeFi) aplikace kryptoměny v hodnotě 9 milionů dolarů. Ale když se vývojář nabídl ať si útočník nechá 500,000 XNUMX dolarů jako odměnu za chybu útočník vrátil dalších 8.5 milionu dolarů.
K podobnému útoku došlo v září na decentralizované burze KyberSwap. V tomto případě útočníci ukradli 265,000 XNUMX dolarů a vývojáři nabídl jim nechat 15 % prostředků, pokud by vrátili zbytek. Podezřelí v případu byly později identifikovány, ale finanční prostředky nebyly vráceny a zdá se, že hackeři jsou stále na svobodě.
Zdroj: https://cointelegraph.com/news/coinbase-clarifying-bug-bounty-policy-in-response-to-uber-extortion-verdict