V objavi v spletnem dnevniku 30. novembra je Coinbase skušal pojasniti svoje politike programa nagrad za hrošče kot odgovor na nedavno razsodbo o kršitvi podatkov Uber.
Podjetje je izjavilo, da še vedno pozdravlja "odgovorno" razkritje varnostnih težav, vendar uporabniki, ki zlorabljajo ta postopek, ne bodo prejeli nagrad za napake:
»Ključna beseda pri vsem tem je 'odgovoren'. Po nedavni razsodbi Uber je v panogi veliko zaskrbljenosti glede tega, da bodo predložitve nagrad za napake postale poskusi izsiljevanja. Pri Coinbase […] smo veliko razmišljali o tem, kako izvajamo naš program nagrad za hrošče, da ostanemo na pravi strani zakona.”
Sodba, na katero se je skliceval Coinbase, je bila izdana 5. oktobra. Joe Sullivan, nekdanji vodja varnosti pri Uberju, je bil spoznan za krivega sodelovanja z napadalci, da bi prikrili dokaze o kršitvi podatkov, poroča Washington Post. Sullivan je prvotno trdil, da so napadalci kršitev prijavili kot nagrado za hrošče in da jim je podjetje plačalo kot nagrado za hrošče.
Tehnična podjetja pogosto uporabljajo nagrado za hrošče, da spodbudijo bele hekerje, da najdejo varnostne ranljivosti in jih prijavijo. Toda sodba v zadevi Sullivan je sprožila vprašanje, kako daleč lahko gre program za nagrajevanje hroščev pri podeljevanju nagrad hekerjem, ne da bi bil v nasprotju s samim zakonom.
Coinbase je v svoji objavi navedel, da je naletel na nekatere udeležence nagrade za hrošče, ki trdijo, da so zagrešili kazniva dejanja, ki bi podjetju preprečila zakonito izplačilo.
Na primer, udeleženec je ekipi poslal več e-poštnih sporočil, v katerih je povedal, da so imeli »306 milijonov uporabniških podatkov v celoti dehashiranih« in »bypass« za preskok 48-urne čakalne dobe na novih napravah. Po navedbah Coinbase, če bi ta oseba imela takšne informacije, bi to pomenilo, da je dostopala do podatkov o strankah, ki presegajo tisto, kar bi se lahko štelo za "dobronamerno" ali "naključno". V takem primeru Coinbase ne bi mogel plačati nagrade.
V tem konkretnem primeru je Coinbase dejal, da menijo, da je udeleženec podal lažno trditev. Udeleženec ni predložil nobenih informacij, ki bi omogočile preverjanje trditve, zato ekipa ni upoštevala zahteve za nagrado. A tudi če bi oseba, ki je podala zahtevek, govorila resnico, bi ji bilo izplačilo nagrade nezakonito.
Coinbase je tudi poudaril, da grožnje ali drugi poskusi izsiljevanja ne bodo povzročili izplačila nagrade za napake:
»Najpomembneje od vsega — predložitev nagrade za hrošče nikoli ne sme vsebovati groženj ali kakršnih koli poskusov izsiljevanja. Vedno smo odprti za plačilo nagrad za zakonite ugotovitve. Zahteve po odkupnini so povsem druga stvar.«
Praksa plačevanja nagrad za hrošče je včasih sporna. Kritiki pravijo, da lahko spodbuja zlonamerno vedenje, medtem ko podporniki pravijo, da pogosto omogoča varno odkrivanje ranljivosti. 19. oktobra je napadalec izčrpal tržnico Moola decentralizirane finance (DeFi) app v vrednosti 9 milijonov dolarjev kriptovalute. Ko pa se je razvijalec ponudil naj napadalec obdrži 500,000 $ kot nagrado za hrošče je napadalec vrnil ostalih 8.5 milijona dolarjev.
Podoben napad se je zgodil septembra na decentralizirani borzi KyberSwap. V tem primeru so napadalci ukradli 265,000 $ in razvijalce ponudil, da jim pusti 15 % sredstev, če bi ostalo vrnili. Osumljenci v primeru so bili pozneje identificirani, vendar sredstva niso bila vrnjena in zdi se, da so hekerji še vedno na begu.
Vir: https://cointelegraph.com/news/coinbase-clarifies-bug-bounty-policy-in-response-to-uber-extortion-verdict