In un post sul blog del 30 novembre, Coinbase ha cercato di chiarire le politiche del suo programma di bug bounty in risposta al recente verdetto sulla violazione dei dati di Uber.
La società ha dichiarato di accogliere ancora con favore la divulgazione "responsabile" dei problemi di sicurezza, ma gli utenti che abusano di questo processo non riceveranno ricompense per i bug:
“La parola chiave in tutto questo è 'responsabile'. Sulla scia del recente verdetto di Uber, nel settore c'è molta preoccupazione per il fatto che gli invii di bug bounty diventino tentativi di estorsione. In Coinbase, […] abbiamo riflettuto molto su come gestiamo il nostro programma di bug bounty per stare dalla parte giusta della legge."
Il verdetto a cui si riferiva Coinbase è stato emesso il 5 ottobre. Joe Sullivan, ex capo della sicurezza di Uber, è stato riconosciuto colpevole di collusione con gli aggressori per coprire le prove di una violazione dei dati, secondo un rapporto del Washington Post. Sullivan aveva inizialmente affermato che gli aggressori avevano presentato la violazione come taglia di bug e che la società li aveva pagati come ricompensa di taglia di bug.
Le aziende tecnologiche usano spesso bug bounty per incoraggiare gli hacker white hat a trovare vulnerabilità di sicurezza e segnalarle. Ma il verdetto di Sullivan ha sollevato la questione di quanto un programma di bug bounty possa spingersi nell'assegnare premi agli hacker senza entrare in conflitto con la legge stessa.
Nel suo post, Coinbase ha dichiarato di aver incontrato alcuni partecipanti al bug bounty che affermano di aver commesso azioni criminali che impedirebbero alla società di essere in grado di effettuare legalmente un pagamento.
Ad esempio, un partecipante ha inviato più e-mail al team affermando di avere "306 milioni di dati di utenti completamente sottoposti a dehashing" e un "bypass" per saltare il periodo di attesa di 48 ore sui nuovi dispositivi. Secondo Coinbase, se questa persona avesse tali informazioni, significherebbe che ha avuto accesso ai dati dei clienti oltre ciò che potrebbe essere considerato "in buona fede" o "accidentale". In tal caso, Coinbase non sarebbe in grado di pagare la taglia.
In questo caso particolare, Coinbase ha affermato di ritenere che il partecipante stesse facendo una falsa affermazione. Il partecipante non ha fornito alcuna informazione che consentisse di verificare la richiesta, quindi il team ha ignorato la richiesta di una taglia. Ma anche se la persona che ha presentato la richiesta avesse detto la verità, sarebbe stato illegale pagare loro la ricompensa.
Coinbase ha anche sottolineato che minacce o altri tentativi di estorsione non si tradurranno in un pagamento di bug bounty:
“La cosa più importante di tutte: l'invio di una taglia di bug non può mai contenere minacce o tentativi di estorsione. Siamo sempre aperti a pagare premi per scoperte legittime. Le richieste di riscatto sono una questione completamente diversa.
La pratica di pagare bug bounty è a volte controversa. I critici affermano che può incoraggiare comportamenti dannosi, mentre i sostenitori affermano che spesso consente di scoprire le vulnerabilità in modo sicuro. Il 19 ottobre, un aggressore ha prosciugato il Moola Market finanza decentralizzata (DeFi) app di $ 9 milioni di criptovaluta. Ma quando lo sviluppatore si è offerto di lascia che l'attaccante tenga $ 500,000 come taglia di bug, l'attaccante ha restituito gli altri $ 8.5 milioni.
Un attacco simile si è verificato all'exchange decentralizzato, KyberSwap, a settembre. In questo caso, gli aggressori hanno rubato $ 265,000 e gli sviluppatori si offrì di lasciarli tenere il 15% dei fondi se restituissero il resto. Sospetti nel caso sono stati successivamente identificati, ma i fondi non sono stati restituiti e gli hacker sembrano essere ancora latitanti.
Fonte: https://cointelegraph.com/news/coinbase-clarifies-bug-bounty-policy-in-response-to-uber-extortion-verdict