I et blogindlæg den 30. november forsøgte Coinbase at præcisere sine bug bounty-programpolitikker som svar på den nylige Uber-dom om databrud.
Virksomheden udtalte, at den stadig hilser "ansvarlig" afsløring af sikkerhedsproblemer velkommen, men brugere, der misbruger denne proces, vil ikke blive tildelt fejlbelønninger:
"Nøgleordet i alt dette er 'ansvarlig'. I kølvandet på den nylige Uber-dom er der stor bekymring i branchen om, at indsendelser af bug-bounty bliver til afpresningsforsøg. Hos Coinbase […] har vi tænkt meget over, hvordan vi driver vores bug bounty-program for at holde os på den rigtige side af loven."
Dommen Coinbase refererede til blev udstedt den 5. oktober. Joe Sullivan, tidligere Uber-sikkerhedschef, blev fundet skyldig i at have samarbejdet med angribere for at dække over beviser for et databrud, ifølge en rapport fra Washington Post. Sullivan havde oprindeligt hævdet, at angriberne havde indsendt bruddet som en bug-bounty, og at virksomheden havde udbetalt dem som en bug-bounty-belønning.
Teknologivirksomheder bruger ofte bug-bounties til at opmuntre white hat-hackere til at finde sikkerhedssårbarheder og rapportere dem. Men Sullivan-dommen har rejst spørgsmålet om, hvor langt et bug bounty-program kan gå i tildeling af præmier til hackere uden at løbe på kant med selve loven.
I sit indlæg udtalte Coinbase, at det er stødt på nogle bug bounty-deltagere, der hævder at have begået kriminelle handlinger, der ville forhindre virksomheden i at være i stand til lovligt at foretage en udbetaling.
For eksempel indsendte en deltager flere e-mails til holdet, hvori de sagde, at de havde "306 millioner brugeres data fuldstændigt dehashed" og en "bypass" for at springe den 48-timers venteperiode over på nye enheder. Ifølge Coinbase, hvis denne person havde sådanne oplysninger, ville det betyde, at de fik adgang til kundedata ud over, hvad der kunne betragtes som "god tro" eller "tilfældigt". I et sådant tilfælde ville Coinbase ikke være i stand til at betale dusøren.
I dette særlige tilfælde sagde Coinbase, at de troede, at deltageren fremsatte et falsk krav. Deltageren har ikke givet nogen oplysninger, der gør det muligt at verificere kravet, så holdet ignorerede anmodningen om en dusør. Men selv hvis den person, der fremsatte påstanden, havde fortalt sandheden, ville det have været ulovligt at udbetale belønningen til dem.
Coinbase understregede også, at trusler eller andre afpresningsforsøg ikke vil resultere i en bug bounty-udbetaling:
"Vigtigst af alt - en bug bounty-indsendelse kan aldrig indeholde trusler eller forsøg på afpresning. Vi er altid åbne for at betale dusører for legitime fund. Løsepengekrav er en helt anden sag."
Praksis med at udbetale bug-bounties er nogle gange kontroversiel. Kritikere siger, at det kan tilskynde til ondsindet adfærd, mens tilhængere siger, at det ofte tillader sårbarheder at blive opdaget sikkert. Den 19. oktober drænede en angriber Moola-markedet decentral finansiering (DeFi) app til en værdi af 9 millioner dollars i kryptovaluta. Men da udvikleren tilbød det lad angriberen beholde $500,000 som en bug-bounty returnerede angriberen de andre $8.5 millioner.
Et lignende angreb fandt sted på den decentraliserede børs, KyberSwap, i september. I dette tilfælde stjal angriberne $265,000, og udviklerne tilbød at lade dem beholde 15 % af midlerne, hvis de ville returnere resten. Mistænkte i sagen blev senere identificeret, men midlerne er ikke blevet returneret, og hackerne ser ud til at være på fri fod.
Kilde: https://cointelegraph.com/news/coinbase-clarifies-bug-bounty-policy-in-response-to-uber-extortion-verdict