Coinbase разъясняет политику вознаграждения за ошибки в ответ на вердикт Uber о вымогательстве

В сообщении в блоге от 30 ноября Coinbase попыталась прояснить свою политику программы вознаграждений за ошибки в ответ на недавний вердикт об утечке данных Uber.

Компания заявила, что по-прежнему приветствует «ответственное» раскрытие проблем безопасности, но пользователи, злоупотребляющие этим процессом, не будут награждены наградами за обнаружение ошибок:

«Ключевое слово во всем этом — «ответственный». После недавнего вердикта Uber в отрасли есть много опасений по поводу того, что заявки на вознаграждение за обнаружение ошибок становятся попытками вымогательства. В Coinbase […] мы много думали о том, как мы используем нашу программу вознаграждения за обнаружение ошибок, чтобы оставаться в рамках закона».

Официальная страница отчетов об ошибках Coinbase на HackerOne

Вердикт, на который ссылалась Coinbase, был вынесен 5 октября. Согласно сообщению Washington Post, бывший глава службы безопасности Uber Джо Салливан был признан виновным в сговоре со злоумышленниками с целью сокрытия доказательств утечки данных. Первоначально Салливан утверждал, что злоумышленники представили брешь в качестве вознаграждения за обнаружение ошибок и что компания заплатила им в качестве вознаграждения за обнаружение ошибок.

Технологические компании часто используют вознаграждение за обнаружение ошибок, чтобы побудить белых хакеров находить уязвимости в системе безопасности и сообщать о них. Но вердикт Салливана поднял вопрос о том, насколько далеко может зайти программа вознаграждения за обнаружение ошибок в присуждении призов хакерам, не нарушая самого закона.

В своем посте Coinbase заявила, что столкнулась с некоторыми участниками баг-баунти, которые утверждают, что совершили преступные действия, которые помешали компании произвести выплату на законных основаниях.

Например, участник отправил команде несколько электронных писем, в которых говорилось, что у них «данные 306 миллионов пользователей полностью расшифрованы» и «обойти», чтобы пропустить 48-часовой период ожидания на новых устройствах. Согласно Coinbase, если бы у этого человека была такая информация, это означало бы, что он получил доступ к данным клиентов за пределами того, что можно было бы считать «добросовестным» или «случайным». В таком случае Coinbase не сможет выплатить вознаграждение.

В этом конкретном случае Coinbase заявила, что, по их мнению, участник делает ложное заявление. Участник не предоставил никакой информации, которая позволила бы проверить претензию, поэтому команда проигнорировала запрос на вознаграждение. Но даже если бы лицо, подавшее заявление, говорило правду, выплата ему вознаграждения была бы незаконной.

Coinbase также подчеркнула, что угрозы или другие попытки вымогательства не приведут к выплате вознаграждения за обнаружение ошибок:

«Самое главное — заявка на баг-баунти никогда не может содержать угроз или попыток вымогательства. Мы всегда готовы платить вознаграждение за законные находки. Требование выкупа — совсем другое дело».

Практика выплаты вознаграждений за ошибки иногда вызывает споры. Критики говорят, что это может поощрять злонамеренное поведение, в то время как сторонники говорят, что это часто позволяет безопасно обнаруживать уязвимости.19 октября злоумышленник лишил приложение Moola Market DeFi криптовалюты на сумму 9 миллионов долларов. Но когда разработчик предложил злоумышленнику оставить 500 тысяч долларов в качестве вознаграждения за обнаружение ошибок, злоумышленник вернул остальные 8,5 миллиона долларов.

Аналогичная атака произошла на децентрализованной бирже KyberSwap в сентябре. В данном случае злоумышленники украли 265 тысяч долларов, а разработчики предложили оставить себе 15% средств, если они вернут остальные. Позже были установлены подозреваемые в деле, но средства не возвращены, а хакеры, похоже, до сих пор на свободе.