Sa isang post sa blog noong Nob. 30, hinangad ng Coinbase na linawin ang mga patakaran nito sa bug bounty program bilang tugon sa kamakailang hatol sa paglabag sa data ng Uber.
Sinabi ng kumpanya na tinatanggap pa rin nito ang "responsableng" pagsisiwalat ng mga isyu sa seguridad, ngunit ang mga user na umaabuso sa prosesong ito ay hindi bibigyan ng mga bug bounty:
“Ang pangunahing salita sa lahat ng ito ay 'responsable.' Kasunod ng kamakailang hatol ng Uber, maraming pag-aalala sa industriya tungkol sa mga pagsusumite ng bug bounty na nagiging mga pagtatangka sa pangingikil. Sa Coinbase, […] marami kaming pinag-isipan kung paano namin pinapatakbo ang aming bug bounty program para manatili sa kanang bahagi ng batas.”
Ang hatol na tinutukoy ng Coinbase ay inilabas noong Oktubre 5. Si Joe Sullivan, dating pinuno ng seguridad ng Uber, ay napatunayang nagkasala ng pakikipagsabwatan sa mga umaatake upang pagtakpan ang ebidensya ng isang paglabag sa data, ayon sa isang ulat ng Washington Post. Si Sullivan ay orihinal na nag-claim na ang mga umaatake ay nagsumite ng paglabag bilang isang bug bounty at na ang kumpanya ay nagbayad sa kanila bilang isang bug bounty reward.
Ang mga tech na kumpanya ay madalas na gumagamit ng mga bug bountie upang hikayatin ang mga hacker ng puting sumbrero na maghanap ng mga kahinaan sa seguridad at iulat ang mga ito. Ngunit, itinaas ng hatol ng Sullivan ang tanong kung gaano kalayo ang magagawa ng isang bug bounty program sa paggawad ng mga premyo sa mga hacker nang hindi umaayon sa batas mismo.
Sa post nito, sinabi ng Coinbase na nakatagpo ito ng ilang mga kalahok ng bug bounty na nagsasabing nakagawa sila ng mga kriminal na aksyon na pumipigil sa kumpanya na legal na gumawa ng payout.
Halimbawa, nagsumite ang isang kalahok ng maraming email sa team na nagsasabing mayroon silang "306 milyong data ng user na ganap na na-dehashed" at isang "bypass" upang laktawan ang 48-oras na panahon ng paghihintay sa mga bagong device. Ayon sa Coinbase, kung ang taong ito ay may ganoong impormasyon, nangangahulugan ito na na-access nila ang data ng customer nang higit sa kung ano ang maaaring ituring na "magandang loob" o "aksidenteng." Sa ganoong kaso, hindi mababayaran ng Coinbase ang bounty.
Sa partikular na kaso na ito, sinabi ng Coinbase na naniniwala sila na ang kalahok ay gumagawa ng isang maling claim. Ang kalahok ay hindi nagbigay ng anumang impormasyon na magpapahintulot sa paghahabol na ma-verify, kaya hindi pinansin ng koponan ang kahilingan para sa isang bounty. Ngunit kahit na ang taong naghahabol ay nagsasabi ng totoo, magiging labag sa batas ang pagbabayad sa kanila ng gantimpala.
Binigyang-diin din ng Coinbase na ang mga pagbabanta o iba pang mga pagtatangka sa pangingikil ay hindi magreresulta sa isang bug bounty payout:
“Ang pinakamahalaga sa lahat — ang pagsusumite ng bug bounty ay hindi kailanman maaaring maglaman ng mga banta o anumang pagtatangka sa pangingikil. Palagi kaming bukas sa pagbabayad ng mga bounty para sa mga lehitimong natuklasan. Ang mga hinihingi ng ransom ay isang ganap na naiibang bagay.”
Ang pagsasanay ng pagbabayad ng mga bug bountie ay minsan kontrobersyal. Sinasabi ng mga kritiko na maaari nitong hikayatin ang malisyosong pag-uugali, habang sinasabi ng mga tagasuporta na madalas nitong pinapayagan ang mga kahinaan na matuklasan nang ligtas. Noong Oktubre 19, pinatuyo ng isang umaatake ang Moola Market desentralisadong pananalapi (DeFi) app na $9 milyon na halaga ng cryptocurrency. Ngunit kapag nag-alok ang developer sa hayaan ang umaatake na panatilihin ang $500,000 bilang isang bug bounty, ibinalik ng umaatake ang iba pang $8.5 milyon.
Isang katulad na pag-atake ang naganap sa desentralisadong palitan, KyberSwap, noong Setyembre. Sa kasong ito, ang mga umaatake ay nagnakaw ng $265,000, at ang mga developer inaalok na hayaan silang panatilihin ang 15% ng mga pondo kung ibabalik nila ang natitira. Mga suspek sa kaso ay nakilala sa kalaunan, ngunit ang mga pondo ay hindi naibalik, at ang mga hacker ay lumilitaw na wala pa rin.
Pinagmulan: https://cointelegraph.com/news/coinbase-clarifies-bug-bounty-policy-in-response-to-uber-extortion-verdict