Lapkričio 30 d. dienoraščio įraše „Coinbase“ siekė paaiškinti savo klaidų atlyginimo programos politiką, reaguodama į neseniai paskelbtą „Uber“ nuosprendį dėl duomenų pažeidimo.
Bendrovė teigė, kad ji vis dar sveikina „atsakingą“ saugumo problemų atskleidimą, tačiau naudotojai, kurie piktnaudžiauja šiuo procesu, nebus apdovanoti už klaidas:
„Raktinis žodis visame tame yra „atsakingas“. Neseniai paskelbus Uber nuosprendį, pramonėje kyla didelis susirūpinimas dėl to, kad klaidų pateikimas tampa prievartavimo bandymais. „Coinbase“ […] mes daug galvojome apie tai, kaip vykdome laisvų klaidų programą, kad išliktų teisinga įstatymų pusė.
„Coinbase“ nuosprendis buvo paskelbtas spalio 5 d. Joe Sullivanas, buvęs „Uber“ saugumo vadovas, buvo pripažintas kaltu dėl susitarimo su užpuolikais, siekiant nuslėpti duomenų pažeidimo įrodymus, teigiama „Washington Post“ pranešime. Sullivanas iš pradžių tvirtino, kad užpuolikai pažeidimą pateikė kaip atlygį už klaidas ir kad bendrovė jiems sumokėjo kaip atlygį už klaidas.
Technologijų įmonės dažnai naudoja kompensacijas už klaidas, kad paskatintų įsilaužėlius rasti saugumo spragas ir apie jas pranešti. Tačiau Sullivano nuosprendis iškėlė klausimą, kiek gali nueiti klaidų programa, skirdama prizus įsilaužėliams, nepažeidžiant paties įstatymo.
Savo įraše „Coinbase“ nurodė, kad susidūrė su kai kuriais „bug bounty“ dalyviais, kurie teigia įvykdę nusikalstamus veiksmus, kurie neleistų įmonei teisėtai atlikti išmokėjimo.
Pavyzdžiui, dalyvis komandai pateikė kelis el. laiškus, sakydamas, kad „306 milijonų vartotojų duomenys visiškai išnaikinti“ ir „apeiti“, kad naujuose įrenginiuose būtų praleistas 48 valandų laukimo laikotarpis. „Coinbase“ teigimu, jei šis asmuo turėtų tokią informaciją, tai reikštų, kad jis pasiekė klientų duomenis daugiau, nei galima laikyti „sąžiningais“ ar „atsitiktiniais“. Tokiu atveju „Coinbase“ negalėtų sumokėti premijos.
Šiuo konkrečiu atveju „Coinbase“ teigė manantys, kad dalyvis pateikia klaidingą pretenziją. Dalyvis nepateikė jokios informacijos, kuri leistų patikrinti pretenziją, todėl komanda nepaisė prašymo dėl premijos. Tačiau net jei pretenziją pateikęs asmuo būtų sakęs tiesą, jam išmokėti atlygį būtų buvę neteisėta.
„Coinbase“ taip pat pabrėžė, kad grasinimai ar kiti prievartavimo bandymai nesukels išmokos už klaidas:
„Svarbiausia yra tai, kad laisvų klaidų pateikime niekada negali būti grasinimų ar bandymų prievartauti. Mes visada esame pasirengę mokėti atlygį už teisėtus atradimus. Išpirkos reikalavimai yra visiškai kitas dalykas.
Atlyginimo už klaidas mokėjimo praktika kartais yra prieštaringa. Kritikai teigia, kad tai gali paskatinti kenkėjišką elgesį, o šalininkai teigia, kad tai dažnai leidžia saugiai aptikti pažeidžiamumą. Spalio 19 d. užpuolikas nusausino Moola turgų decentralizuotas finansavimas (DeFi) 9 milijonų dolerių vertės kriptovaliutos programėlė. Bet kai kūrėjas pasiūlė tegul užpuolikas pasilieka 500,000 XNUMX USD kaip atlygį už klaidą, užpuolikas grąžino kitus 8.5 mln.
Panaši ataka įvyko rugsėjį prieš decentralizuotą biržą „KyberSwap“. Šiuo atveju užpuolikai pavogė 265,000 XNUMX USD, o kūrėjai pasiūlė jiems pasilikti 15 proc. lėšų, jei grąžintų likusią dalį. Įtariamieji byloje vėliau buvo identifikuoti, tačiau lėšos negrąžintos, o įsilaužėliai vis dar laisvėje.
Šaltinis: https://cointelegraph.com/news/coinbase-clarifies-bug-bounty-policy-in-response-to-uber-extortion-verdict