في منشور بالمدونة في 30 نوفمبر ، سعت Coinbase إلى توضيح سياسات برنامج مكافآت الأخطاء ردًا على حكم خرق بيانات Uber الأخير.
صرحت الشركة بأنها لا تزال ترحب بالإفصاح "المسؤول" عن مشكلات الأمان ، ولكن المستخدمين الذين يسيئون استخدام هذه العملية لن يتم منحهم مكافآت الأخطاء:
"الكلمة الأساسية في كل هذا هي" المسؤول ". في أعقاب صدور حكم أوبر الأخير ، هناك الكثير من القلق في الصناعة بشأن تحويل مكافآت الأخطاء إلى محاولات ابتزاز. في Coinbase ، [...] فكرنا كثيرًا في كيفية تشغيل برنامج مكافأة الأخطاء لدينا للبقاء في الجانب الأيمن من القانون ".
صدر الحكم الذي كانت تشير إليه Coinbase في 5 أكتوبر / تشرين الأول. وأدين جو سوليفان ، رئيس الأمن السابق في أوبر ، بالتواطؤ مع المهاجمين للتستر على أدلة على انتهاك البيانات ، وفقًا لتقرير صادر عن صحيفة واشنطن بوست. كان سوليفان قد ادعى في الأصل أن المهاجمين قدموا الخرق على أنه مكافأة خطأ وأن الشركة دفعت لهم مكافأة مكافأة خطأ.
غالبًا ما تستخدم شركات التكنولوجيا مكافآت الأخطاء لتشجيع قراصنة القبعات البيضاء على العثور على نقاط الضعف الأمنية والإبلاغ عنها. لكن حكم سوليفان أثار السؤال حول المدى الذي يمكن أن يذهب إليه برنامج مكافأة الأخطاء في منح الجوائز للقراصنة دون أن يخالفوا القانون نفسه.
ذكرت Coinbase في منشورها أنها واجهت بعض المشاركين في مكافآت الأخطاء الذين يزعمون أنهم ارتكبوا أعمالًا إجرامية من شأنها أن تمنع الشركة من أن تكون قادرة على دفع تعويضات بشكل قانوني.
على سبيل المثال ، أرسل أحد المشاركين رسائل بريد إلكتروني متعددة إلى الفريق تفيد بأن لديهم "306 مليون بيانات مستخدم مجهولة تمامًا" و "تجاوز" لتخطي فترة الانتظار البالغة 48 ساعة على الأجهزة الجديدة. وفقًا لـ Coinbase ، إذا كان لدى هذا الشخص مثل هذه المعلومات ، فهذا يعني أنه وصل إلى بيانات العميل بما يتجاوز ما يمكن اعتباره "حسن النية" أو "عرضيًا". في مثل هذه الحالة ، لن تتمكن Coinbase من دفع المكافأة.
في هذه الحالة بالذات ، قال Coinbase إنهم يعتقدون أن المشارك كان يقدم ادعاءً كاذبًا. لم يقدم المشارك أي معلومات من شأنها أن تسمح بالتحقق من المطالبة ، لذلك تجاهل الفريق طلب الحصول على مكافأة. ولكن حتى لو كان صاحب الادعاء يقول الحقيقة ، فسيكون من غير القانوني دفع المكافأة لهم.
أكد موقع Coinbase أيضًا أن التهديدات أو محاولات الابتزاز الأخرى لن تؤدي إلى تعويضات مكافأة الخطأ:
"الأهم من ذلك كله - لا يمكن أن يحتوي تقديم مكافأة الخطأ مطلقًا على تهديدات أو أي محاولات ابتزاز. نحن دائمًا منفتحون على دفع المكافآت مقابل النتائج المشروعة. مطالب الفدية مسألة مختلفة تماما ".
تعتبر ممارسة دفع مكافآت الأخطاء أمرًا مثيرًا للجدل في بعض الأحيان. يقول النقاد إنه يمكن أن يشجع السلوك الضار ، بينما يقول المؤيدون إنه غالبًا ما يسمح باكتشاف نقاط الضعف بأمان. في 19 أكتوبر ، قام مهاجم بتجفيف سوق مولا التمويل اللامركزي (DeFi) التطبيق بقيمة 9 ملايين دولار من العملات المشفرة. ولكن عندما عرض المطور ل دع المهاجم يحتفظ بـ 500,000 دولار كجائزة خطأ ، أعاد المهاجم 8.5 مليون دولار أخرى.
ووقع هجوم مماثل على البورصة اللامركزية KyberSwap في سبتمبر. في هذه الحالة ، سرق المهاجمون 265,000 دولار والمطورين عرضت السماح لهم بالحفاظ على 15٪ من الأموال إذا كانوا سيعيدون الباقي. المشتبه بهم في القضية تم تحديدها لاحقًا، ولكن لم يتم إرجاع الأموال ، ويبدو أن المتسللين ما زالوا مطلقي السراح.
المصدر: https://cointelegraph.com/news/coinbase-clarizes-bug-bounty-policy-in-response-to-uber-extortion-verdict