У паведамленні ў блогу ад 30 лістапада Coinbase паспрабавала растлумачыць сваю палітыку ўзнагароджання за памылку ў адказ на нядаўні вердыкт аб парушэнні дадзеных Uber.
Кампанія заявіла, што па-ранейшаму вітае «адказнае» раскрыццё праблем бяспекі, але карыстальнікі, якія злоўжываюць гэтым працэсам, не будуць узнагароджаны ўзнагародамі за памылкі:
«Ключавое слова ва ўсім гэтым — «адказны». Пасля нядаўняга вердыкту Uber у індустрыі існуе вялікая занепакоенасць тым, што заяўкі на выплату памылак ператвараюцца ў спробы вымагальніцтва. У Coinbase […] мы шмат думалі над тым, як мы працуем з нашай праграмай ўзнагароджання за памылкі, каб заставацца на правільным баку закона».
Вердыкт, на які спасылалася Coinbase, быў вынесены 5 кастрычніка. Джо Саліван, былы кіраўнік службы бяспекі Uber, быў прызнаны вінаватым у змове са зламыснікамі для ўтойвання доказаў уцечкі дадзеных, гаворыцца ў паведамленні Washington Post. Саліван першапачаткова сцвярджаў, што зламыснікі прызналі парушэнне ў якасці ўзнагароды за памылку і што кампанія заплаціла ім у якасці ўзнагароды за памылку.
Тэхналагічныя кампаніі часта выкарыстоўваюць узнагароды за памылку, каб заахвоціць хакераў выяўляць слабыя месцы ў бяспецы і паведамляць пра іх. Але вердыкт па справе Салівана падняў пытанне аб тым, наколькі далёка можа зайсці праграма ўзнагароджання за памылак у прысуджэнні хакерам узнагарод, не парушаючы сам закон.
У сваім паведамленні Coinbase заявіла, што сутыкнулася з некаторымі ўдзельнікамі ўзнагароджання за памылку, якія сцвярджаюць, што здзейснілі злачынныя дзеянні, якія перашкодзяць кампаніі атрымаць законныя выплаты.
Напрыклад, удзельнік адправіў камандзе некалькі электронных лістоў, у якіх паведамляецца, што ў іх «даныя 306 мільёнаў карыстальнікаў цалкам дэхэшаваны» і «абыход», каб прапусціць 48-гадзінны перыяд чакання на новых прыладах. Згодна з Coinbase, калі б гэты чалавек меў такую інфармацыю, гэта азначала б, што ён атрымаў доступ да даных кліентаў за межамі таго, што можна лічыць «добрасумленным» або «выпадковым». У такім выпадку Coinbase не зможа выплаціць узнагароду.
У гэтым канкрэтным выпадку Coinbase заявіла, што лічыць, што ўдзельнік робіць ілжывую заяву. Удзельнік не прадставіў ніякай інфармацыі, якая дазволіла б праверыць сцвярджэнне, таму каманда праігнаравала просьбу аб ўзнагароджанні. Але нават калі б чалавек, які прад'яўляў прэтэнзію, казаў праўду, выплата яму ўзнагароды была б незаконнай.
Coinbase таксама падкрэсліла, што пагрозы або іншыя спробы вымагальніцтва не прывядуць да выплаты ўзнагароды за памылкі:
«Самае важнае з усіх — адпраўка ўзнагароды за памылку ніколі не можа ўтрымліваць пагрозы або любыя спробы вымагальніцтва. Мы заўсёды гатовыя плаціць узнагароды за законныя знаходкі. Зусім іншая справа — патрабаванні выкупу».
Практыка выплаты бонусаў за памылак часам выклікае спрэчкі. Крытыкі кажуць, што гэта можа заахвочваць зламысныя паводзіны, у той час як прыхільнікі кажуць, што гэта часта дазваляе бяспечна выяўляць слабыя месцы. 19 кастрычніка зламыснік асушыў Moola Market дэцэнтралізаваныя фінансы (DeFi) дадатак на 9 мільёнаў долараў у криптовалюте. Але калі забудоўшчык прапанаваў няхай зламыснік захавае 500,000 XNUMX даляраў у якасці ўзнагароды за памылку зламыснік вярнуў астатнія 8.5 мільёна долараў.
Падобная атака адбылася на дэцэнтралізаваную біржу KyberSwap у верасні. У гэтым выпадку зламыснікі скралі 265,000 XNUMX даляраў, а распрацоўшчыкі прапанаваў пакінуць ім 15% сродкаў, калі яны вернуць астатняе. Падазраваныя па справе пазней былі ідэнтыфікаваныя, але сродкі не былі вернутыя, і хакеры, падобна, усё яшчэ знаходзяцца на волі.
Крыніца: https://cointelegraph.com/news/coinbase-clarifies-bug-bounty-policy-in-response-to-uber-extortion-verdict