در یک پست وبلاگ در 30 نوامبر، Coinbase به دنبال شفاف سازی سیاست های برنامه پاداش اشکال خود در پاسخ به حکم اخیر نقض داده Uber بود.
این شرکت اعلام کرد که هنوز از افشای «مسئولانه» مسائل امنیتی استقبال میکند، اما کاربرانی که از این فرآیند سوء استفاده میکنند، جوایز باگ دریافت نخواهند کرد:
کلمه کلیدی در همه اینها "مسئولیت" است. پس از حکم اخیر اوبر، نگرانی های زیادی در صنعت در مورد اخاذی ارسالی های پاداش باگ وجود دارد. در Coinbase، […] ما در مورد اینکه چگونه برنامه پاداش باگ خود را اجرا کنیم تا در سمت راست قانون باقی بمانیم، فکر زیادی کرده ایم.
بر اساس گزارش واشنگتن پست، جو سالیوان، رئیس سابق امنیت Uber، به اتهام تبانی با مهاجمان برای پنهان کردن شواهد نقض داده ها، محکوم شد. سالیوان در ابتدا ادعا کرده بود که مهاجمان نقض را به عنوان جایزه باگ ارائه کرده اند و شرکت به آنها به عنوان پاداش پاداش باگ پرداخت کرده است.
شرکتهای فناوری اغلب از پاداشهای باگ برای تشویق هکرهای کلاه سفید برای یافتن آسیبپذیریهای امنیتی و گزارش آنها استفاده میکنند. اما، حکم سالیوان این سوال را مطرح کرده است که یک برنامه پاداش باگ تا کجا میتواند در اعطای جوایز به هکرها بدون نقض خود قانون پیش رود.
Coinbase در پست خود اظهار داشت که با برخی از شرکت کنندگان در جایزه باگ مواجه شده است که ادعا می کنند مرتکب اقدامات مجرمانه ای شده اند که باعث می شود شرکت نتواند به طور قانونی پرداخت کند.
برای مثال، شرکتکنندهای ایمیلهای متعددی را به تیم ارسال کرد و گفت که آنها «اطلاعات 306 میلیون کاربر به طور کامل حذف شدهاند» و «بای پس» برای رد شدن از دوره انتظار 48 ساعته در دستگاههای جدید. به گفته کوین بیس، اگر این شخص چنین اطلاعاتی را داشته باشد، به این معنی است که به داده های مشتری فراتر از آنچه که می توان «خوش نیت» یا «تصادفی» در نظر گرفت، دسترسی داشته است. در چنین حالتی، Coinbase قادر به پرداخت جایزه نخواهد بود.
در این مورد خاص، Coinbase گفت که آنها معتقد بودند که شرکت کننده ادعای نادرستی دارد. شرکتکننده هیچ اطلاعاتی ارائه نکرد که به تأیید این ادعا اجازه دهد، بنابراین تیم درخواست جایزه را نادیده گرفت. اما حتی اگر شخصی که ادعا می کند حقیقت را گفته بود، پرداخت پاداش به آنها غیرقانونی بود.
کوین بیس همچنین تاکید کرد که تهدیدات یا سایر تلاشهای اخاذی منجر به پرداخت پاداش باگ نمیشود:
«مهمتر از همه این است که ارائه پاداش باگ هرگز نمی تواند حاوی تهدید یا هرگونه تلاش برای اخاذی باشد. ما همیشه آماده پرداخت پاداش برای یافته های قانونی هستیم. باج خواهی موضوعی کاملاً متفاوت است.»
روش پرداخت پاداش اشکال گاهی اوقات بحث برانگیز است. منتقدان میگویند که میتواند رفتارهای مخرب را تشویق کند، در حالی که حامیان میگویند که اغلب اجازه میدهد آسیبپذیریها به طور ایمن کشف شوند. در 19 اکتبر، یک مهاجم بازار مولا را تخلیه کرد امور مالی غیرمتمرکز (DeFi) اپلیکیشنی به ارزش 9 میلیون دلار ارز دیجیتال. اما زمانی که توسعه دهنده پیشنهاد داد اجازه دهید مهاجم 500,000 دلار نگه دارد به عنوان جایزه اشکال، مهاجم 8.5 میلیون دلار دیگر را پس داد.
حمله مشابهی در صرافی غیرمتمرکز، KyberSwap، در ماه سپتامبر رخ داد. در این مورد، مهاجمان 265,000 دلار و توسعه دهندگان سرقت کردند به آنها اجازه داد 15٪ را نگه دارند اگر بقیه وجوه را برگردانند. مظنونین پرونده بعدها شناسایی شدند، اما وجوه بازگردانده نشده است و به نظر می رسد هکرها هنوز آزاد هستند.
منبع: https://cointelegraph.com/news/coinbase-clarifies-bug-bounty-policy-in-response-to-uber-extortion-verdict