In einem Blog-Beitrag vom 30. November versuchte Coinbase, seine Bug-Bounty-Programmrichtlinien als Reaktion auf das jüngste Uber-Datenverletzungsurteil zu klären.
Das Unternehmen erklärte, dass es immer noch eine „verantwortungsvolle“ Offenlegung von Sicherheitsproblemen begrüße, aber Benutzer, die diesen Prozess missbrauchen, würden keine Bug-Prämien erhalten:
„Das Schlüsselwort bei all dem ist ‚Verantwortung'. Nach dem jüngsten Uber-Urteil gibt es in der Branche große Bedenken, dass Bug-Bounty-Einreichungen zu Erpressungsversuchen werden könnten. Bei Coinbase […] haben wir viel darüber nachgedacht, wie wir unser Bug-Bounty-Programm betreiben, um auf der richtigen Seite des Gesetzes zu bleiben.“
Das Urteil, auf das sich Coinbase bezog, wurde am 5. Oktober erlassen. Joe Sullivan, ehemaliger Uber-Sicherheitschef, wurde laut einem Bericht der Washington Post für schuldig befunden, mit Angreifern zusammengearbeitet zu haben, um Beweise für eine Datenpanne zu vertuschen. Sullivan hatte ursprünglich behauptet, die Angreifer hätten den Verstoß als Bug-Bounty eingereicht und das Unternehmen habe sie als Bug-Bounty-Belohnung bezahlt.
Technologieunternehmen verwenden häufig Bug-Bounties, um White-Hat-Hacker dazu zu ermutigen, Sicherheitslücken zu finden und diese zu melden. Aber das Sullivan-Urteil hat die Frage aufgeworfen, wie weit ein Bug-Bounty-Programm bei der Vergabe von Preisen an Hacker gehen kann, ohne gegen das Gesetz selbst zu verstoßen.
In seinem Beitrag erklärte Coinbase, dass es auf einige Bug-Bounty-Teilnehmer gestoßen sei, die behaupten, kriminelle Handlungen begangen zu haben, die das Unternehmen daran hindern würden, legal eine Auszahlung vorzunehmen.
Beispielsweise reichte ein Teilnehmer mehrere E-Mails an das Team ein, in denen er sagte, dass er „306 Millionen Benutzerdaten vollständig dehashed“ und einen „Bypass“ habe, um die 48-stündige Wartezeit auf neuen Geräten zu überspringen. Wenn diese Person über solche Informationen verfügte, würde dies laut Coinbase bedeuten, dass sie auf Kundendaten zugegriffen hat, die über das hinausgingen, was als „gutgläubig“ oder „zufällig“ angesehen werden könnte. In einem solchen Fall wäre Coinbase nicht in der Lage, die Prämie zu zahlen.
In diesem speziellen Fall sagte Coinbase, dass sie glaubten, dass der Teilnehmer eine falsche Behauptung aufstellte. Der Teilnehmer lieferte keine Informationen, die eine Überprüfung der Behauptung ermöglichen würden, sodass das Team die Bitte um ein Kopfgeld ignorierte. Aber selbst wenn die Person, die den Anspruch geltend gemacht hätte, die Wahrheit gesagt hätte, wäre es illegal gewesen, die Belohnung an sie auszuzahlen.
Coinbase betonte auch, dass Drohungen oder andere Erpressungsversuche nicht zu einer Bug-Bounty-Auszahlung führen werden:
„Das Wichtigste von allem – eine Bug-Bounty-Einreichung darf niemals Drohungen oder Erpressungsversuche enthalten. Wir sind immer bereit, Prämien für legitime Funde zu zahlen. Lösegeldforderungen sind eine ganz andere Sache.“
Die Praxis der Zahlung von Bug Bountys ist manchmal umstritten. Kritiker sagen, dass es böswilliges Verhalten fördern kann, während Befürworter sagen, dass es oft erlaubt, Sicherheitslücken sicher zu entdecken. Am 19. Oktober plünderte ein Angreifer den Moola-Markt dezentrale Finanzierung (DeFi) App in Kryptowährung im Wert von 9 Millionen US-Dollar. Aber als der Entwickler es anbot Lassen Sie den Angreifer 500,000 Dollar behalten Als Bug-Bounty gab der Angreifer die anderen 8.5 Millionen Dollar zurück.
Ein ähnlicher Angriff ereignete sich im September auf der dezentralisierten Börse KyberSwap. In diesem Fall stahlen die Angreifer 265,000 Dollar und die Entwickler angeboten, ihnen 15 % zu überlassen der Mittel, wenn sie den Rest zurückgeben würden. Verdächtige in dem Fall wurden später identifiziert, aber das Geld wurde nicht zurückgezahlt, und die Hacker scheinen immer noch auf freiem Fuß zu sein.
Quelle: https://cointelegraph.com/news/coinbase-clarifieds-bug-bounty-policy-in-response-to-uber-extortion-verdict