Egy november 30-i blogbejegyzésben a Coinbase igyekezett tisztázni a hibajavító programszabályzatát, válaszul az Uber legutóbbi adatszivárgási ítéletére.
A cég kijelentette, hogy továbbra is üdvözli a biztonsági kérdések „felelősségteljes” közzétételét, de az ezzel a folyamattal visszaélő felhasználók nem kapnak hibadíjat:
„Mindennek a kulcsszava a „felelősség”. A legutóbbi Uber-ítélet nyomán az iparágban nagy aggodalomra ad okot, hogy a hibajavaslatok zsarolási kísérletekké váljanak. A Coinbase-nél […] sokat gondolkodtunk azon, hogyan működtetjük a hibajavító programunkat, hogy a törvény helyes oldalán maradjunk.”
A Coinbase által hivatkozott ítéletet október 5-én hozták nyilvánosságra. A Washington Post jelentése szerint Joe Sullivant, az Uber korábbi biztonsági vezetőjét bűnösnek találták a támadókkal való összejátszásban. Sullivan eredetileg azt állította, hogy a támadók kártérítésként fizették be a jogsértést, és a cég kártérítési jutalmat fizetett nekik.
A technológiai vállalatok gyakran használnak hibajavaslatokat, hogy arra ösztönözzék a white hat hackereket, hogy találják meg a biztonsági réseket, és jelentsék azokat. A Sullivan-ítélet azonban felvetette azt a kérdést, hogy meddig mehet el egy bug bounty program a hackerek díjainak odaítélésében anélkül, hogy magát a törvényt sértené.
Bejegyzésében a Coinbase kijelentette, hogy találkozott néhány bug bounty résztvevővel, akik azt állítják, hogy olyan bűncselekményeket követtek el, amelyek megakadályoznák a vállalatot abban, hogy legálisan tudjon kifizetést teljesíteni.
Például egy résztvevő több e-mailt küldött a csapatnak, mondván, hogy „306 millió felhasználó adatait teljesen törölték”, és egy „megkerülést” tettek a 48 órás várakozási időszak kihagyására új eszközökön. A Coinbase szerint, ha ez a személy rendelkezne ilyen információval, az azt jelentené, hogy a „jóhiszeműnek” vagy „véletlennek” tekinthető ügyféladatokon túl is hozzáfért. Ilyen esetben a Coinbase nem tudná kifizetni a jutalmat.
Ebben a konkrét esetben a Coinbase azt mondta, hogy úgy gondolták, hogy a résztvevő hamis állítást tett. A résztvevő nem adott olyan információt, amely lehetővé tenné a követelés igazolását, így a csapat figyelmen kívül hagyta a jutalomkérést. De még ha az állítást benyújtó személy igazat mondott is, törvénytelen lett volna a jutalmat kifizetni nekik.
A Coinbase azt is hangsúlyozta, hogy a fenyegetések vagy más zsarolási kísérletek nem eredményeznek hibakifizetést:
„A legfontosabb az egészben, hogy a hibajavaslat soha nem tartalmazhat fenyegetést vagy zsarolási kísérletet. Mindig nyitottak vagyunk arra, hogy jutalmakat fizessünk jogszerű eredményekért. A váltságdíj követelése egészen más kérdés.”
A hibajavaslatok kifizetésének gyakorlata néha ellentmondásos. A kritikusok szerint rosszindulatú viselkedésre ösztönözhet, míg a támogatók szerint gyakran lehetővé teszi a sebezhetőségek biztonságos felfedezését. Október 19-én egy támadó kiürítette a Moola piacot decentralizált pénzügy (DeFi) 9 millió dollár értékű kriptovaluta alkalmazás. De amikor a fejlesztő felajánlotta hagyja, hogy a támadó tartson 500,000 XNUMX dollárt hibadíjként a támadó visszaadta a többi 8.5 millió dollárt.
Hasonló támadás történt a decentralizált tőzsdén, a KyberSwapon szeptemberben. Ebben az esetben a támadók 265,000 XNUMX dollárt loptak el, a fejlesztők pedig felajánlotta nekik, hogy megtartják a 15%-ot ha visszaadnák a többit. Gyanúsítottak az ügyben később azonosították, de az összeget nem küldték vissza, és úgy tűnik, hogy a hackerek még mindig szabadlábon vannak.
Forrás: https://cointelegraph.com/news/coinbase-clarifies-bug-bounty-policy-in-response-to-uber-extortion-verdict