U postu na blogu od 30. novembra, Coinbase je pokušao da razjasni svoje politike programa nagrađivanja grešaka kao odgovor na nedavnu Uberovu presudu o kršenju podataka.
Kompanija je navela da i dalje pozdravlja "odgovorno" otkrivanje sigurnosnih problema, ali korisnici koji zloupotrebe ovaj proces neće biti nagrađeni za greške:
„Ključna riječ u svemu ovome je 'odgovoran'. Nakon nedavne presude Ubera, u industriji postoji velika zabrinutost zbog toga što podnošenje nagrada za greške postaje pokušaj iznude. U Coinbaseu, […] dosta smo razmišljali o tome kako upravljamo našim programom za nagrađivanje grešaka kako bismo ostali na pravoj strani zakona.”
Presuda na koju se Coinbase poziva izdata je 5. oktobra. Joe Sullivan, bivši šef sigurnosti Ubera, proglašen je krivim za dosluh s napadačima kako bi prikrio dokaze o kršenju podataka, prema izvještaju Washington Posta. Sullivan je prvobitno tvrdio da su napadači prijavili kršenje kao nagradu za bube i da im je kompanija platila kao nagradu za bube.
Tehnološke kompanije često koriste nagrade za greške kako bi ohrabrile bele hakere da pronađu sigurnosne propuste i prijave ih. Ali, presuda Sullivan-u je postavila pitanje koliko daleko program za nagrađivanje grešaka može ići u dodjeli nagrada hakerima bez kršenja samog zakona.
U svom postu, Coinbase je naveo da je naišao na neke učesnike nagrade za greške koji tvrde da su počinili kriminalne radnje koje bi spriječile kompaniju da legalno izvrši isplatu.
Na primjer, učesnik je timu poslao više e-poruka u kojima je rekao da su "podaci o 306 miliona korisnika potpuno dehaširani" i "zaobilaženje" da se preskoči period čekanja od 48 sati na novim uređajima. Prema Coinbase-u, da je ova osoba imala takve informacije, to bi značilo da je pristupila podacima o klijentima izvan onoga što bi se moglo smatrati "u dobroj namjeri" ili "slučajnim". U takvom slučaju, Coinbase ne bi mogao platiti nagradu.
U ovom konkretnom slučaju, Coinbase je rekao da vjeruju da je učesnik iznosio lažnu tvrdnju. Učesnik nije dao nikakve informacije koje bi omogućile provjeru potraživanja, pa je tim ignorirao zahtjev za nagradu. Ali čak i da je osoba koja je tvrdila govorila istinu, bilo bi nezakonito isplatiti im nagradu.
Coinbase je također naglasio da prijetnje ili drugi pokušaji iznude neće rezultirati isplatom nagrade za greške:
“Najvažnije od svega — prijava za nagradu za bube nikada ne može sadržavati prijetnje ili pokušaje iznude. Uvijek smo otvoreni za plaćanje nagrada za legitimne nalaze. Zahtjevi za otkupninu su sasvim druga stvar.”
Praksa plaćanja nagrada za greške ponekad je kontroverzna. Kritičari kažu da može potaknuti zlonamjerno ponašanje, dok pristalice kažu da često omogućava sigurno otkrivanje ranjivosti. Dana 19. oktobra, napadač je isušio Moola Market decentralizovane finansije (DeFi) aplikacija u vrijednosti od 9 miliona dolara kriptovalute. Ali kada je programer ponudio neka napadač zadrži 500,000 dolara kao nagradu za bube, napadač je vratio ostalih 8.5 miliona dolara.
Sličan napad se dogodio i na decentralizovanu berzu KyberSwap u septembru. U ovom slučaju, napadači su ukrali 265,000 dolara, a programeri ponudio im da zadrže 15% sredstava ako bi vratili ostatak. Osumnjičeni u slučaju su kasnije identifikovani, ali sredstva nisu vraćena, a čini se da su hakeri još uvijek na slobodi.
Izvor: https://cointelegraph.com/news/coinbase-clarifies-bug-bounty-policy-in-response-to-uber-extortion-verdict