I et blogginnlegg 30. november forsøkte Coinbase å avklare sine retningslinjer for bug bounty-program som svar på den nylige Uber-dommen om databrudd.
Selskapet uttalte at det fortsatt ønsker "ansvarlig" avsløring av sikkerhetsproblemer velkommen, men brukere som misbruker denne prosessen vil ikke bli tildelt feilpremier:
"Nøkkelordet i alt dette er "ansvarlig." I kjølvannet av den nylige Uber-dommen, er det mye bekymring i bransjen om at innsending av bug-premier blir til utpressingsforsøk. Hos Coinbase, […] har vi tenkt mye på hvordan vi driver vårt bug-bounty-program for å holde oss på rett side av loven.»
Dommen Coinbase refererte til ble utstedt 5. oktober. Joe Sullivan, tidligere sikkerhetssjef i Uber, ble funnet skyldig i samarbeid med angripere for å dekke over bevis for et datainnbrudd, ifølge en rapport fra Washington Post. Sullivan hadde opprinnelig hevdet at angriperne hadde sendt inn bruddet som en bug-bounty og at selskapet hadde betalt dem som en bug-bounty-belønning.
Teknologiselskaper bruker ofte bug-bounties for å oppmuntre white hat-hackere til å finne sikkerhetssårbarheter og rapportere dem. Men Sullivan-dommen har reist spørsmålet om hvor langt et bug-bounty-program kan gå i tildeling av premier til hackere uten å gå på tvers av selve loven.
I sitt innlegg uttalte Coinbase at det har møtt noen bug bounty-deltakere som hevder å ha begått kriminelle handlinger som ville hindre selskapet i å kunne foreta en lovlig utbetaling.
For eksempel sendte en deltaker flere e-poster til teamet som sa at de hadde «306 millioner brukerdata fullstendig dehashed» og en «bypass» for å hoppe over 48-timers ventetiden på nye enheter. Ifølge Coinbase, hvis denne personen hadde slik informasjon, ville det bety at de fikk tilgang til kundedata utover det som kan anses som "god tro" eller "tilfeldig". I et slikt tilfelle ville ikke Coinbase være i stand til å betale dusøren.
I dette spesielle tilfellet sa Coinbase at de trodde at deltakeren kom med en falsk påstand. Deltakeren ga ingen informasjon som ville tillate at kravet ble bekreftet, så teamet ignorerte forespørselen om en dusør. Men selv om personen som fremsatte påstanden hadde fortalt sannheten, ville det vært ulovlig å betale ut belønningen til dem.
Coinbase understreket også at trusler eller andre utpressingsforsøk ikke vil resultere i en bug-bounty-utbetaling:
"Viktigst av alt - en innsending av bug-premier kan aldri inneholde trusler eller noen forsøk på utpressing. Vi er alltid åpne for å betale dusører for legitime funn. Krav om løsepenger er en helt annen sak.»
Praksisen med å utbetale bug-premier er noen ganger kontroversiell. Kritikere sier at det kan oppmuntre til ondsinnet oppførsel, mens tilhengere sier at det ofte lar sårbarheter oppdages trygt. Den 19. oktober tømte en angriper Moola-markedet desentralisert finans (DeFi) app til en verdi av 9 millioner dollar i kryptovaluta. Men når utvikleren tilbød det la angriperen beholde $500,000 XNUMX som en bug-bounty returnerte angriperen de andre $8.5 millioner.
Et lignende angrep skjedde på den desentraliserte børsen, KyberSwap, i september. I dette tilfellet stjal angriperne $265,000 XNUMX, og utviklerne tilbudt å la dem beholde 15 % av midlene hvis de ville returnere resten. Mistenkte i saken ble senere identifisert, men midlene har ikke blitt returnert, og hackerne ser ut til å fortsatt være på frifot.
Kilde: https://cointelegraph.com/news/coinbase-clarifies-bug-bounty-policy-in-response-to-uber-extortion-verdict