فن آوری

Coinbase سیاست پاداش اشکالات را در پاسخ به حکم اخاذی Uber روشن می کند

12/01/2022
اخبار بیت کوین اتریوم

در یک پست وبلاگ در 30 نوامبر، Coinbase به دنبال شفاف سازی سیاست های برنامه پاداش اشکال خود در پاسخ به حکم اخیر نقض داده Uber بود.

این شرکت اعلام کرد که هنوز از افشای «مسئولانه» مسائل امنیتی استقبال می‌کند، اما کاربرانی که از این فرآیند سوء استفاده می‌کنند، جوایز باگ دریافت نخواهند کرد:

کلمه کلیدی در همه اینها "مسئولیت" است. پس از حکم اخیر اوبر، نگرانی های زیادی در صنعت در مورد اخاذی ارسالی های پاداش باگ وجود دارد. در Coinbase، […] ما در مورد اینکه چگونه برنامه پاداش باگ خود را اجرا کنیم تا در سمت راست قانون باقی بمانیم، فکر زیادی کرده ایم.

صفحه رسمی گزارش باگ بوونتی Coinbase در HackerOne

بر اساس گزارش واشنگتن پست، جو سالیوان، رئیس سابق امنیت Uber، به اتهام تبانی با مهاجمان برای پنهان کردن شواهد نقض داده ها، محکوم شد. سالیوان در ابتدا ادعا کرده بود که مهاجمان نقض را به عنوان جایزه باگ ارائه کرده اند و شرکت به آنها به عنوان پاداش پاداش باگ پرداخت کرده است.

تصویر

شرکت‌های فناوری اغلب از پاداش‌های باگ برای تشویق هکرهای کلاه سفید برای یافتن آسیب‌پذیری‌های امنیتی و گزارش آن‌ها استفاده می‌کنند. اما، حکم سالیوان این سوال را مطرح کرده است که یک برنامه پاداش باگ تا کجا می‌تواند در اعطای جوایز به هکرها بدون نقض خود قانون پیش رود.

Coinbase در پست خود اظهار داشت که با برخی از شرکت کنندگان در جایزه باگ مواجه شده است که ادعا می کنند مرتکب اقدامات مجرمانه ای شده اند که باعث می شود شرکت نتواند به طور قانونی پرداخت کند.

برای مثال، شرکت‌کننده‌ای ایمیل‌های متعددی را به تیم ارسال کرد و گفت که آنها «اطلاعات 306 میلیون کاربر به طور کامل حذف شده‌اند» و «بای پس» برای رد شدن از دوره انتظار 48 ساعته در دستگاه‌های جدید. به گفته کوین بیس، اگر این شخص چنین اطلاعاتی را داشته باشد، به این معنی است که به داده های مشتری فراتر از آنچه که می توان «خوش نیت» یا «تصادفی» در نظر گرفت، دسترسی داشته است. در چنین حالتی، Coinbase قادر به پرداخت جایزه نخواهد بود.

در این مورد خاص، Coinbase گفت که آنها معتقد بودند که شرکت کننده ادعای نادرستی دارد. شرکت‌کننده هیچ اطلاعاتی ارائه نکرد که به تأیید این ادعا اجازه دهد، بنابراین تیم درخواست جایزه را نادیده گرفت. اما حتی اگر شخصی که ادعا می کند حقیقت را گفته بود، پرداخت پاداش به آنها غیرقانونی بود.

کوین بیس همچنین تاکید کرد که تهدیدات یا سایر تلاش‌های اخاذی منجر به پرداخت پاداش باگ نمی‌شود:

«مهمتر از همه این است که ارائه پاداش باگ هرگز نمی تواند حاوی تهدید یا هرگونه تلاش برای اخاذی باشد. ما همیشه آماده پرداخت پاداش برای یافته های قانونی هستیم. باج خواهی موضوعی کاملاً متفاوت است.»

روش پرداخت پاداش اشکال گاهی اوقات بحث برانگیز است. منتقدان می‌گویند که می‌تواند رفتارهای مخرب را تشویق کند، در حالی که حامیان می‌گویند که اغلب اجازه می‌دهد آسیب‌پذیری‌ها به طور ایمن کشف شوند. در 19 اکتبر، یک مهاجم بازار مولا را تخلیه کرد امور مالی غیرمتمرکز (DeFi) اپلیکیشنی به ارزش 9 میلیون دلار ارز دیجیتال. اما زمانی که توسعه دهنده پیشنهاد داد اجازه دهید مهاجم 500,000 دلار نگه دارد به عنوان جایزه اشکال، مهاجم 8.5 میلیون دلار دیگر را پس داد.

حمله مشابهی در صرافی غیرمتمرکز، KyberSwap، در ماه سپتامبر رخ داد. در این مورد، مهاجمان 265,000 دلار و توسعه دهندگان سرقت کردند به آنها اجازه داد 15٪ را نگه دارند اگر بقیه وجوه را برگردانند. مظنونین پرونده بعدها شناسایی شدند، اما وجوه بازگردانده نشده است و به نظر می رسد هکرها هنوز آزاد هستند.