U postu na blogu od 30. studenog, Coinbase je pokušao razjasniti svoje politike programa nagrada za bugove kao odgovor na nedavnu presudu Ubera o povredi podataka.
Tvrtka je izjavila da i dalje pozdravlja "odgovorno" otkrivanje sigurnosnih problema, ali korisnici koji zlorabe ovaj proces neće dobiti nagrade za bugove:
“Ključna riječ u svemu ovome je 'odgovoran'. Nakon nedavne presude Uberu, u industriji postoji velika zabrinutost zbog toga što će slanje nagrada za bugove postati pokušaji iznude. U Coinbaseu […] dosta smo razmišljali o tome kako upravljati našim programom nagrada za bugove kako bismo ostali na pravoj strani zakona.”
Presuda na koju se Coinbase pozivala izdana je 5. listopada. Joe Sullivan, bivši šef sigurnosti Ubera, proglašen je krivim za udruživanje s napadačima kako bi prikrili dokaze o povredi podataka, prema izvješću Washington Posta. Sullivan je izvorno tvrdio da su napadači prijavili proboj kao nagradu za bugove i da im je tvrtka platila kao nagradu za bug bounty.
Tehnološke tvrtke često koriste nagrade za bugove kako bi potaknule hakere da pronađu sigurnosne propuste i prijave ih. No, presuda u predmetu Sullivan pokrenula je pitanje koliko daleko program nagrađivanja za bugove može ići u dodjeljivanju nagrada hakerima, a da se ne sukobi sa samim zakonom.
U svojoj objavi, Coinbase je naveo da je naišao na neke sudionike bug bounty-a koji tvrde da su počinili kriminalne radnje koje bi spriječile kompaniju u mogućnosti da legalno izvrši isplatu.
Na primjer, sudionik je timu poslao više e-poruka u kojima je naveo da su "podaci o 306 milijuna korisnika u potpunosti dehaširani" i "zaobilaženje" za preskakanje razdoblja čekanja od 48 sati na novim uređajima. Prema Coinbaseu, ako bi ta osoba imala takve informacije, to bi značilo da je pristupila podacima o klijentima izvan onoga što bi se moglo smatrati "u dobroj vjeri" ili "slučajno". U tom slučaju Coinbase ne bi mogao platiti nagradu.
U ovom konkretnom slučaju, Coinbase je rekao da vjeruje da je sudionik iznosio lažnu tvrdnju. Sudionik nije dao nikakve informacije koje bi omogućile provjeru tvrdnje, pa je tim zanemario zahtjev za nagradu. Ali čak i da je osoba koja je tvrdila govorila istinu, bilo bi nezakonito isplatiti joj nagradu.
Coinbase je također naglasio da prijetnje ili drugi pokušaji iznude neće rezultirati isplatom nagrade za bugove:
“Najvažnije od svega — podnošenje nagrade za bugove nikada ne smije sadržavati prijetnje ili bilo kakve pokušaje iznude. Uvijek smo spremni platiti nagrade za legitimna otkrića. Zahtjevi za otkupninom su sasvim druga stvar.”
Praksa plaćanja nagrada za bugove ponekad je kontroverzna. Kritičari kažu da može potaknuti zlonamjerno ponašanje, dok pristaše kažu da često omogućuje sigurno otkrivanje ranjivosti. Dana 19. listopada napadač je isušio tržnicu Moola decentralizirane financije (DeFi) app od 9 milijuna dolara vrijedne kriptovalute. Ali kada se programer ponudio neka napadač zadrži 500,000$ kao nagradu za bube, napadač je vratio ostalih 8.5 milijuna dolara.
U rujnu se dogodio sličan napad na decentraliziranu burzu KyberSwap. U ovom slučaju napadači su ukrali 265,000 dolara, a programeri ponudio im da zadrže 15% sredstava ako bi vratili ostatak. Osumnjičenici u slučaju kasnije su identificirani, ali sredstva nisu vraćena, a čini se da su hakeri još uvijek na slobodi.
Izvor: https://cointelegraph.com/news/coinbase-clarifies-bug-bounty-policy-in-response-to-uber-extortion-verdict