Во блог-објава на 30 ноември, Coinbase се обиде да ги разјасни своите програмски политики за баунтирање грешки како одговор на неодамнешната пресуда за прекршување на податоците на Uber.
Компанијата изјави дека сè уште го поздравува „одговорното“ откривање на безбедносните проблеми, но на корисниците кои го злоупотребуваат овој процес нема да им бидат доделени награди за грешки:
„Клучниот збор во сето ова е „одговорно“. Во пресрет на неодамнешната пресуда на Uber, постои голема загриженост во индустријата дека поднесоците за баунти за грешки стануваат обиди за изнуда. Во Coinbase, […] многу размислувавме за тоа како ја работиме нашата програма за доделување грешки за да останеме на десната страна на законот.
Пресудата на која се однесуваше Coinbase беше издадена на 5 октомври. Џо Саливан, поранешен шеф на безбедноста на Uber, беше прогласен за виновен за дослух со напаѓачите за да се прикријат доказите за прекршување на податоците, според извештајот на Вашингтон пост. Саливан првично тврдеше дека напаѓачите го поднеле прекршувањето како награда за грешки и дека компанијата им платила како награда за награда за грешки.
Технолошките компании често користат награди за грешки за да ги охрабрат хакерите со бела капа да ги пронајдат безбедносните пропусти и да ги пријават. Но, пресудата за Саливан го покрена прашањето до каде може да оди програмата за баунтирање на грешки во доделувањето награди на хакери без да се прекрши со самиот закон.
Во својата објава, Coinbase наведе дека наишла на некои учесници во баунти за грешки кои тврдат дека извршиле криминални дејствија што би ја спречиле компанијата да може легално да изврши исплата.
На пример, еден учесник доставил повеќе е-пораки до тимот велејќи дека има „целосно дешишани податоци за 306 милиони корисници“ и „бајпас“ за да го прескокне периодот на чекање од 48 часа на новите уреди. Според Coinbase, ако ова лице имало такви информации, тоа би значело дека тие пристапиле до податоците на клиентите надвор од она што може да се смета за „добра волја“ или „случајно“. Во таков случај, Coinbase нема да може да ја плати наградата.
Во овој конкретен случај, Coinbase рече дека веруваат дека учесникот дава лажно тврдење. Учесникот не даде никакви информации што ќе овозможат да се потврди тврдењето, па тимот го игнорираше барањето за награда. Но, дури и ако лицето што го поднесува тврдењето ја кажувало вистината, ќе било незаконски да им се исплати наградата.
Coinbase исто така нагласи дека заканите или другите обиди за изнуда нема да резултираат со исплата на награда за грешки:
„Најважно од сè - поднесувањето на награда за грешки никогаш не може да содржи закани или обиди за изнуда. Секогаш сме отворени да платиме награди за легитимни наоди. Барањата за откуп се сосема друга работа“.
Практиката на плаќање на награди за грешки понекогаш е контроверзна. Критичарите велат дека може да поттикне злонамерно однесување, додека поддржувачите велат дека често дозволува безбедно да се откријат ранливостите. На 19 октомври, напаѓач го исцеди маркетот Мола децентрализирано финансирање (Дефи) апликација од криптовалута вредна 9 милиони долари. Но, кога инвеститорот понуди да напаѓачот нека задржи 500,000 долари како награда за грешки, напаѓачот ги вратил останатите 8.5 милиони долари.
Сличен напад се случи на децентрализираната размена, KyberSwap, во септември. Во овој случај, напаѓачите украле 265,000 долари, а програмерите им понуди да задржат 15% од средствата доколку би ги вратиле останатите. Осомничените во случајот подоцна беа идентификувани, но средствата не се вратени, а се чини дека хакерите се уште се на слобода.
Извор: https://cointelegraph.com/news/coinbase-clarifies-bug-bounty-policy-in-response-to-uber-extortion-verdict