30. novembra emuāra ziņojumā Coinbase mēģināja precizēt savu kļūdu atlīdzības programmu politiku, reaģējot uz neseno Uber spriedumu par datu pārkāpumu.
Uzņēmums paziņoja, ka joprojām atzinīgi vērtē "atbildīgu" drošības problēmu izpaušanu, bet lietotājiem, kuri ļaunprātīgi izmanto šo procesu, netiks piešķirtas kļūdas:
“Atslēgas vārds šajā visā ir “atbildīgs”. Pēc nesenā Uber sprieduma nozarē pastāv lielas bažas par to, ka kļūdu iesniegšana kļūst par izspiešanas mēģinājumiem. Uzņēmumā Coinbase […] mēs esam daudz pārdomājuši, kā mēs darbojamies ar savu kļūdu atlīdzības programmu, lai ievērotu likumu.
Spriedums, uz kuru atsaucās Coinbase, tika pasludināts 5. oktobrī. Saskaņā ar Washington Post ziņojumu Džo Salivans, bijušais Uber drošības vadītājs, tika atzīts par vainīgu vienošanā ar uzbrucējiem, lai slēptu pierādījumus par datu pārkāpumu. Salivans sākotnēji apgalvoja, ka uzbrucēji ir iesnieguši pārkāpumu kā atlīdzību par kļūdām un uzņēmums viņiem samaksājis kā atlīdzību par kļūdu.
Tehnoloģiju uzņēmumi bieži izmanto kļūdu piemaksas, lai mudinātu balto cepuru hakerus atrast drošības ievainojamības un ziņot par tām. Taču Salivana spriedums ir izvirzījis jautājumu par to, cik tālu kļūdu novēršanas programma var iet, piešķirot balvas hakeriem, nepārkāpjot pašu likumu.
Savā ziņojumā Coinbase paziņoja, ka ir saskārusies ar dažiem kļūdu balvas dalībniekiem, kuri apgalvo, ka ir veikuši noziedzīgas darbības, kas neļautu uzņēmumam likumīgi veikt izmaksu.
Piemēram, kāds dalībnieks komandai iesniedza vairākus e-pasta ziņojumus, norādot, ka viņiem ir “306 miljonu lietotāju dati ir pilnībā izdzēsti” un “apvedceļš”, lai jaunās ierīcēs izlaistu 48 stundu gaidīšanas periodu. Saskaņā ar Coinbase teikto, ja šai personai būtu šāda informācija, tas nozīmētu, ka viņi ir piekļuvuši klientu datiem, kas pārsniedz to, ko varētu uzskatīt par "labticīgu" vai "nejauši". Šādā gadījumā Coinbase nevarētu samaksāt prēmiju.
Šajā konkrētajā gadījumā Coinbase teica, ka viņi uzskatīja, ka dalībnieks izteica nepatiesu apgalvojumu. Dalībnieks nesniedza nekādu informāciju, kas ļautu pārbaudīt prasību, tāpēc komanda ignorēja pieprasījumu pēc balvas. Bet pat tad, ja persona, kas iesniedz prasību, būtu teikusi patiesību, būtu bijis nelikumīgi izmaksāt viņiem atlīdzību.
Coinbase arī uzsvēra, ka draudi vai citi izspiešanas mēģinājumi neizraisīs naudas balvas izmaksu par kļūdu:
“Vissvarīgākais — kļūdu piešķīruma iesniegumā nekad nedrīkst būt ietverti draudi vai jebkādi izspiešanas mēģinājumi. Mēs vienmēr esam gatavi maksāt prēmijas par likumīgiem atklājumiem. Izpirkuma maksas prasības ir pavisam cits jautājums.
Par kļūdu maksāšanas prakse dažkārt ir pretrunīga. Kritiķi saka, ka tas var veicināt ļaunprātīgu rīcību, savukārt atbalstītāji saka, ka tas bieži vien ļauj droši atklāt ievainojamības. 19. oktobrī uzbrucējs iztukšoja Moola tirgu decentralizēts finansējums (DeFi) 9 miljonu dolāru vērtas kriptovalūtas lietotne. Bet, kad izstrādātājs to piedāvāja lai uzbrucējs patur 500,000 XNUMX dolāru kā atlīdzību par kļūdām uzbrucējs atdeva pārējos 8.5 miljonus dolāru.
Līdzīgs uzbrukums septembrī notika decentralizētajai biržai KyberSwap. Šajā gadījumā uzbrucēji nozaga 265,000 XNUMX USD, un izstrādātāji piedāvāja ļaut viņiem paturēt 15% no līdzekļiem, ja viņi atdotu pārējos. Lietā aizdomās turamās personas vēlāk tika identificēti, taču līdzekļi nav atgriezti, un šķiet, ka hakeri joprojām atrodas brīvībā.
Avots: https://cointelegraph.com/news/coinbase-clarifies-bug-bounty-policy-in-response-to-uber-extortion-verdict