在 30 月 XNUMX 日的一篇博客文章中,Coinbase 試圖澄清其漏洞賞金計劃政策,以回應最近的 Uber 數據洩露判決。
該公司表示,它仍然歡迎“負責任”地披露安全問題,但濫用這一流程的用戶將不會獲得漏洞賞金:
“所有這一切的關鍵詞是'負責任'。 在最近的 Uber 判決之後,業界非常擔心漏洞賞金提交會成為勒索企圖。 在 Coinbase,[...] 我們對如何運行我們的漏洞賞金計劃以遵守法律進行了大量思考。”
Coinbase 所指的判決是在 5 月 XNUMX 日發布的。據《華盛頓郵報》報導,前 Uber 安全主管喬·沙利文 (Joe Sullivan) 被判與攻擊者勾結以掩蓋數據洩露的證據。 沙利文最初聲稱,攻擊者已將漏洞作為漏洞賞金提交,並且公司已將其作為漏洞賞金獎勵支付給他們。
科技公司經常使用漏洞獎勵來鼓勵白帽黑客發現安全漏洞並進行報告。 但是,Sullivan 的判決提出了一個問題,即在不違反法律本身的情況下,漏洞賞金計劃可以在多大程度上獎勵黑客。
Coinbase 在其帖子中表示,它遇到了一些漏洞賞金參與者,他們聲稱犯下了犯罪行為,這將阻止公司能夠合法地進行支付。
例如,一位參與者向團隊提交了多封電子郵件,稱他們已經“完全去除了 306 億用戶數據”和“繞過”以跳過新設備上的 48 小時等待期。 根據 Coinbase 的說法,如果此人擁有此類信息,則意味著他們訪問了客戶數據,超出了可被視為“善意”或“意外”的範圍。 在這種情況下,Coinbase 將無法支付賞金。
在這個特殊案例中,Coinbase 表示他們認為參與者提出了虛假聲明。 參與者沒有提供任何可以驗證聲明的信息,因此團隊忽略了賞金請求。 但即使提出索賠的人說的是實話,向他們支付獎勵也是違法的。
Coinbase 還強調,威脅或其他勒索企圖不會導致漏洞賞金支付:
“最重要的是——漏洞賞金提交絕不能包含威脅或任何勒索企圖。 我們始終願意為合法的發現支付賞金。 贖金要求是完全不同的事情。”
支付漏洞賞金的做法有時會引起爭議。 批評者說它會鼓勵惡意行為,而支持者則說它通常允許安全地發現漏洞。 19 月 XNUMX 日,一名攻擊者清空了 Moola 市場 分散式金融(DeFi) 價值 9 萬美元的加密貨幣的應用程序。 但當開發商提出 讓攻擊者保留 $500,000 作為漏洞賞金,攻擊者返還了另外 8.5 萬美元。
265,000 月份,去中心化交易所 KyberSwap 也發生了類似的攻擊。 在這種情況下,攻擊者偷走了 XNUMX 美元,而開發人員 提出讓他們保留15% 如果他們願意退還其餘的資金。 案件嫌疑人 後來被查明,但資金尚未歸還,黑客似乎仍逍遙法外。
資料來源:https://cointelegraph.com/news/coinbase-clarifies-bug-bounty-policy-in-response-to-uber-extortion-verdict