I ett blogginlägg den 30 november försökte Coinbase förtydliga sina programpolicyer för bug-bounty som svar på Ubers senaste dom om dataintrång.
Företaget uppgav att det fortfarande välkomnar "ansvarsfullt" avslöjande av säkerhetsproblem, men användare som missbrukar denna process kommer inte att tilldelas buggpremier:
"Nyckelordet i allt detta är 'ansvarig'. I kölvattnet av den senaste Uber-domen finns det en hel del oro i branschen för att inlämnande av buggpremier ska bli utpressningsförsök. På Coinbase, […] har vi tänkt mycket på hur vi använder vårt program för bug-bounty för att hålla oss på rätt sida av lagen.”
Domen Coinbase syftade på utfärdades den 5 oktober. Joe Sullivan, tidigare säkerhetschef för Uber, befanns skyldig till samverkan med angripare för att dölja bevis på ett dataintrång, enligt en rapport från Washington Post. Sullivan hade ursprungligen hävdat att angriparna hade lämnat in intrånget som en bug-bounty och att företaget hade betalat dem som en bug-bounty-belöning.
Teknikföretag använder ofta buggpremier för att uppmuntra hackare med white hat att hitta säkerhetsbrister och rapportera dem. Men Sullivan-domen har väckt frågan om hur långt ett bugg-bounty-program kan gå för att dela ut priser till hackare utan att gå i strid med själva lagen.
I sitt inlägg uppgav Coinbase att det har stött på några bug-bounty-deltagare som hävdar att de har begått kriminella handlingar som skulle hindra företaget från att lagligt kunna göra en utbetalning.
Till exempel skickade en deltagare flera e-postmeddelanden till teamet och sa att de hade "306 miljoner användares data helt dehashed" och en "bypass" för att hoppa över 48-timmars vänteperioden på nya enheter. Enligt Coinbase, om denna person hade sådan information, skulle det betyda att de fick åtkomst till kunddata utöver vad som kunde anses vara "god tro" eller "oavsiktlig". I ett sådant fall skulle Coinbase inte kunna betala ut prispengarna.
I det här specifika fallet sa Coinbase att de trodde att deltagaren gjorde ett falskt påstående. Deltagaren lämnade ingen information som skulle göra det möjligt att verifiera anspråket, så laget ignorerade begäran om en belöning. Men även om personen som gjorde påståendet hade talat sanning, skulle det ha varit olagligt att betala ut belöningen till dem.
Coinbase betonade också att hot eller andra utpressningsförsök inte kommer att resultera i en bug-bounty-utbetalning:
"Viktigast av allt - en bug-bounty-inlämning kan aldrig innehålla hot eller några försök till utpressning. Vi är alltid öppna för att betala belöningar för legitima fynd. Krav på lösen är en helt annan sak.”
Praxis med att betala buggpremier är ibland kontroversiell. Kritiker säger att det kan uppmuntra till skadligt beteende, medan supportrar säger att det ofta gör att sårbarheter kan upptäckas på ett säkert sätt. Den 19 oktober dränerade en angripare Moola Market decentraliserad ekonomi (DeFi) app på 9 miljoner dollar i kryptovaluta. Men när utvecklaren erbjöd sig låt angriparen behålla $500,000 XNUMX som en buggskottspenning gav angriparen tillbaka de andra $8.5 miljonerna.
En liknande attack inträffade på den decentraliserade börsen, KyberSwap, i september. I det här fallet stal angriparna $265,000 XNUMX och utvecklarna erbjöd sig att låta dem behålla 15 % av medlen om de skulle lämna tillbaka resten. Misstänkta i fallet identifierades senare, men pengarna har inte återlämnats och hackarna verkar fortfarande vara på fri fot.
Källa: https://cointelegraph.com/news/coinbase-clarifies-bug-bounty-policy-in-response-to-uber-extortion-verdict