Coinbase سیاست پاداش اشکالات را در پاسخ به حکم اخاذی Uber روشن می کند

در یک پست وبلاگ در 30 نوامبر، Coinbase به دنبال شفاف‌سازی سیاست‌های برنامه پاداش باگ خود در پاسخ به حکم اخیر نقض داده Uber بود.

این شرکت اعلام کرد که همچنان از افشای «مسئولانه» مسائل امنیتی استقبال می‌کند، اما کاربرانی که از این فرآیند سوء استفاده می‌کنند، جوایز باگ دریافت نخواهند کرد:

کلمه کلیدی در همه اینها “مسئولیت” است. پس از حکم اخیر اوبر، نگرانی های زیادی در صنعت در مورد اخاذی ارسالی های پاداش باگ وجود دارد. در کوین بیس، […] ما فکر زیادی کرده ایم که چگونه برنامه پاداش باگ خود را اجرا کنیم تا در سمت راست قانون باقی بمانیم.”

صفحه رسمی گزارش باگ بوونتی Coinbase در HackerOne

بر اساس گزارش واشنگتن پست، جو سالیوان، رئیس سابق امنیت Uber، به اتهام تبانی با مهاجمان برای پنهان کردن شواهد مربوط به نقض داده ها، محکوم شد. سالیوان در ابتدا ادعا کرده بود که مهاجمان این نقض را به عنوان جایزه باگ ارائه کرده اند و شرکت به آنها به عنوان پاداش پاداش باگ پرداخت کرده است.

شرکت‌های فناوری اغلب از پاداش‌های باگ برای تشویق هکرهای کلاه سفید برای یافتن آسیب‌پذیری‌های امنیتی و گزارش آن‌ها استفاده می‌کنند. اما حکم سالیوان این سوال را مطرح کرده است که یک برنامه پاداش باگ تا کجا می‌تواند در اهدای جوایز به هکرها بدون نقض خود قانون پیش رود.

Coinbase در پست خود اظهار داشت که با برخی از شرکت کنندگان در جایزه باگ مواجه شده است که ادعا می کنند مرتکب اقدامات مجرمانه ای شده اند که باعث می شود شرکت نتواند به طور قانونی پرداخت کند.

به عنوان مثال، یک شرکت‌کننده ایمیل‌های متعددی را به تیم ارسال کرد و گفت که آنها «اطلاعات 306 میلیون کاربر کاملاً حذف شده‌اند» و «بای پس» برای رد شدن از دوره انتظار 48 ساعته در دستگاه‌های جدید. به گفته کوین بیس، اگر این شخص چنین اطلاعاتی را داشته باشد، به این معنی است که به داده های مشتری فراتر از آنچه که می تواند «خوش نیت» یا «تصادفی» در نظر گرفته شود، دسترسی داشته است. در چنین حالتی، Coinbase قادر به پرداخت جایزه نخواهد بود.

در این مورد خاص، Coinbase گفت که آنها معتقد بودند که شرکت کننده ادعای نادرستی دارد. شرکت‌کننده هیچ اطلاعاتی ارائه نکرد که به تأیید این ادعا اجازه دهد، بنابراین تیم درخواست جایزه را نادیده گرفت. اما حتی اگر شخصی که ادعا می کند حقیقت را گفته بود، پرداخت پاداش به آنها غیرقانونی بود.

کوین بیس همچنین تاکید کرد که تهدیدات یا سایر تلاش‌های اخاذی منجر به پرداخت پاداش باگ نمی‌شود:

«مهمتر از همه این است که ارائه پاداش باگ هرگز نمی تواند حاوی تهدید یا هرگونه تلاش برای اخاذی باشد. ما همیشه آماده پرداخت پاداش برای یافته های قانونی هستیم. باج خواهی موضوعی کاملاً متفاوت است.»

روش پرداخت پاداش اشکال گاهی اوقات بحث برانگیز است. منتقدان می‌گویند که می‌تواند رفتارهای مخرب را تشویق کند، در حالی که حامیان می‌گویند که اغلب اجازه می‌دهد آسیب‌پذیری‌ها به طور ایمن کشف شوند. در 19 اکتبر، یک مهاجم برنامه Moola Market DeFi را به ارزش 9 میلیون دلار از ارزهای دیجیتال تخلیه کرد. اما زمانی که توسعه دهنده پیشنهاد داد اجازه دهید مهاجم نگه دارد 500 هزار دلار به عنوان پاداش باگ، مهاجم 8.5 میلیون دلار دیگر را پس داد.

حمله مشابهی در صرافی غیرمتمرکز، KyberSwap، در ماه سپتامبر رخ داد. در این مورد، مهاجمان 265 هزار دلار و توسعه دهندگان سرقت کردند به آنها اجازه داد 15٪ را نگه دارند اگر بقیه وجوه را برگردانند. مظنونین پرونده بعدها شناسایی شدند، اما وجوه بازگردانده نشده است و به نظر می رسد هکرها هنوز آزاد هستند.