An engem Blog Post op November 30, Coinbase probéiert seng Bug Bounty Programm Politiken ze klären an Äntwert op déi rezent Uber Dateverletzung Uerteel.
D'Firma huet uginn datt et ëmmer nach "verantwortlech" Verëffentlechung vu Sécherheetsprobleemer begréisst, awer Benotzer déi dëse Prozess mëssbrauchen, kréien keng Bugbounties ausgezeechent:
"D'Schlësselwuert an all deem ass 'verantwortlech'. No der rezenter Uber Urteel gëtt et vill Suergen an der Industrie iwwer Bug Bounty Soumissiounen déi Erpressungsversuche ginn. Bei Coinbase, […] hu mir vill Gedanke gemaach wéi mir eise Bug Bounty Programm bedreiwen fir op der rietser Säit vum Gesetz ze bleiwen.
D'Urteel Coinbase bezitt sech op de 5. Oktober erausginn Joe Sullivan, fréiere Uber Sécherheetschef, gouf schëlleg vun Zesummenaarbecht mat Ugräifer fonnt fir Beweiser vun enger Dateverletzung ze decken, no engem Bericht vun der Washington Post. De Sullivan hat ursprénglech behaapt datt d'Ugräifer de Verstouss als Bug Bounty ofginn hunn an datt d'Firma se als Bug Bounty Belounung bezuelt huet.
Tech Firmen benotzen dacks Bug Bounties fir White Hat Hacker ze encouragéieren fir Sécherheetsschwieregkeeten ze fannen an se ze berichten. Awer, de Sullivan Uerteel huet d'Fro opgeworf wéi wäit e Bug Bounty Programm ka goen fir Präisser un Hacker ze verdeelen ouni d'Gesetz selwer ze bekämpfen.
A sengem Post huet Coinbase uginn datt et e puer Bug Bounty Participanten begéint huet, déi behaapten kriminell Handlungen engagéiert ze hunn, déi d'Firma verhënnert datt se legal e Ausbezuele maachen.
Zum Beispill, e Participant huet e puer E-Mailen un d'Team ofginn a seet datt si "306 Millioune Benotzerdaten komplett ofgeschaaft hunn" an e "Bypass" fir d'48-Stonne Waardezäit op nei Apparater ze sprangen. Laut Coinbase, wann dës Persoun esou Informatioun hätt, géif et heeschen datt se Clientdaten zougräifen iwwer dat wat als "Gutt Glawen" oder "zoufälleg" ugesi ka ginn. An esou engem Fall kéint Coinbase d'Bounty net bezuelen.
An dësem bestëmmte Fall sot Coinbase datt si gleewen datt de Participant eng falsch Fuerderung mécht. De Participant huet keng Informatioun zur Verfügung gestallt, déi d'Fuerderung erlaabt ze verifizéieren, sou datt d'Team d'Ufro fir eng Bounty ignoréiert huet. Awer och wann d'Persoun d'Fuerderung d'Wourecht gesot hätt, wier et illegal gewiescht fir hinnen d'Belounung auszebezuelen.
Coinbase huet och betount datt Geforen oder aner Erpressungsversich net zu enger Bug Bounty Ausbezuelung féieren:
"Wichtegst vun allem - eng Bug Bounty Soumissioun kann ni Gefore enthalen oder Versuche fir Erpressung. Mir sinn ëmmer oppe fir Bounties ze bezuelen fir legitim Erkenntnisser. Ransom Fuerderungen sinn eng ganz aner Saach.
D'Praxis fir Bug Bounties ze bezuelen ass heiansdo kontrovers. Kritiker soen datt et béiswëlleg Verhalen encouragéiere kann, während d'Supporter soen datt et dacks Schwachstelle erlaabt sécher ze entdecken. Den 19. Oktober huet en Ugräifer de Moola Maart drainéiert dezentraliséierten Finanzen (DeFi) App vun $ 9 Milliounen Wäert vun cryptocurrency. Mä wann den Entwéckler ugebueden ze loosst den Ugräifer $ 500,000 behalen als Bug Bounty huet den Ugräifer déi aner $ 8.5 Millioune zréckginn.
En ähnlechen Attack ass op den dezentraliséierten Austausch, KyberSwap, am September geschitt. An dësem Fall hunn d'Ugräifer $ 265,000 geklaut, an d'Entwéckler proposéiert hinnen 15% ze halen vun de Fongen wa se de Rescht géifen zréckginn. Verdächteg am Fall goufen spéider identifizéiert, awer d'Fongen sinn net zréckginn, an d'Hacker schéngen nach ëmmer grouss ze sinn.
Quell: https://cointelegraph.com/news/coinbase-clarifies-bug-bounty-policy-in-response-to-uber-extortion-verdict