30. novembril avaldatud ajaveebipostituses püüdis Coinbase selgitada oma vearaha programmipoliitikat vastuseks hiljutisele Uberi andmerikkumise otsusele.
Ettevõte teatas, et tervitab endiselt turvaprobleemide "vastutustundlikku" avalikustamist, kuid kasutajatele, kes seda protsessi kuritarvitavad, veatasusid ei anta:
"Kõige selle võtmesõnaks on "vastutustundlik". Seoses hiljutise Uberi otsusega on tööstuses palju muret selle pärast, et vearaha esitamine muutub väljapressimiskatseteks. Oleme Coinbase'is […] palju mõelnud sellele, kuidas me oma vigade eest tasumise programmi kasutame, et seadustest lähtuda.
Kohtuotsus, millele Coinbase viitas, avaldati 5. oktoobril. Washington Posti raporti kohaselt tunnistati endine Uberi turvaülem Joe Sullivan süüdi kokkumängus ründajatega, et varjata tõendeid andmete rikkumise kohta. Sullivan väitis algselt, et ründajad esitasid rikkumise kui vearaha ja et ettevõte maksis neile veapreemiana.
Tehnikaettevõtted kasutavad sageli vearaha, et julgustada häkkereid turvaauke leidma ja neist teatama. Kuid Sullivani kohtuotsus on tõstatanud küsimuse, kui kaugele võib vigade hüvitamise programm häkkeritele auhindade jagamisel minna, ilma et see oleks seadusega vastuolus.
Coinbase teatas oma postituses, et on kohanud mõningaid vigade eest tasumisel osalejaid, kes väidavad, et on sooritanud kuritegusid, mis takistaksid ettevõttel seaduslikult väljamakseid teha.
Näiteks saatis osaleja meeskonnale mitu e-kirja, öeldes, et neil on "306 miljoni kasutaja andmed on täielikult kustutatud" ja "möödasõit", et uutes seadmetes 48-tunnine ooteaeg vahele jätta. Coinbase'i sõnul tähendaks see, et kui sellel isikul oleks selline teave, et ta pääses kliendiandmetele juurde, kui seda võiks pidada heauskseks või juhuslikuks. Sellisel juhul ei saaks Coinbase preemiat maksta.
Sel konkreetsel juhul ütles Coinbase, et nad uskusid, et osaleja esitas vale väite. Osaleja ei esitanud teavet, mis võimaldaks väidet kontrollida, mistõttu meeskond eiras pearaha taotlust. Kuid isegi kui nõude esitaja oleks tõtt rääkinud, oleks talle preemia väljamaksmine olnud ebaseaduslik.
Coinbase rõhutas ka, et ähvardused või muud väljapressimiskatsed ei too kaasa vearaha väljamakseid:
"Kõige tähtsam on see, et veahüvitise avaldus ei tohi kunagi sisaldada ähvardusi ega väljapressimiskatseid. Oleme alati avatud preemiate maksmisele seaduslike leidude eest. Lunarahanõuded on hoopis teine teema.
Vigade eest tasu maksmise tava on mõnikord vastuoluline. Kriitikute sõnul võib see julgustada pahatahtlikku käitumist, samas kui toetajate sõnul võimaldab see sageli turvaauke avastada. 19. oktoobril tühjendas ründaja Moola turu detsentraliseeritud rahandus (DeFi) 9 miljoni dollari väärtuses krüptovaluuta rakendus. Aga kui arendaja seda pakkus las ründaja jätab endale 500,000 XNUMX dollarit vearahana tagastas ründaja ülejäänud 8.5 miljonit dollarit.
Sarnane rünnak toimus detsentraliseeritud börsil KyberSwap septembris. Sel juhul röövisid ründajad 265,000 XNUMX dollarit ja arendajad pakkus, et las nad jätavad 15% vahenditest, kui nad ülejäänu tagastaksid. Asjas kahtlustatavad hiljem tuvastati, kuid raha pole tagastatud ja häkkerid näivad olevat endiselt vabaduses.
Allikas: https://cointelegraph.com/news/coinbase-clarifies-bug-bounty-policy-in-response-to-uber-extortion-verdict