30 月 XNUMX 日のブログ投稿で、Coinbase は、最近の Uber のデータ侵害の判決を受けて、バグ報奨金プログラムのポリシーを明確にしようとしました。
同社は、セキュリティ問題の「責任ある」開示を引き続き歓迎すると述べていますが、このプロセスを悪用するユーザーにはバグ報奨金は授与されません。
「これらすべてのキーワードは『責任』です。 最近の Uber の判決を受けて、バグ報奨金の提出が恐喝の試みになることについて、業界では多くの懸念があります。 Coinbase では、[…] 法を順守するために、バグ報奨金プログラムをどのように運用するかについて多くのことを考えてきました。」
Coinbase が参照していた判決は 5 月 XNUMX 日に出されました。Washington Post のレポートによると、元 Uber のセキュリティ責任者である Joe Sullivan は、データ侵害の証拠を隠蔽するために攻撃者と共謀した罪で有罪判決を受けました。 Sullivan は当初、攻撃者が違反をバグ報奨金として提出し、会社がバグ報奨金として彼らに支払ったと主張していました。
テクノロジー企業は、ホワイト ハット ハッカーにセキュリティの脆弱性を見つけて報告するように奨励するために、バグ報奨金を使用することがよくあります。 しかし、サリバン氏の判決は、バグ報奨金プログラムが法律自体に違反することなく、ハッカーに賞金を授与するためにどこまで行くことができるかという問題を提起しました.
投稿の中で、Coinbase は、同社が合法的に支払いを行うことができないような犯罪行為を行ったと主張するバグ報奨金参加者に遭遇したと述べています。
たとえば、参加者はチームに複数のメールを送信し、「306 億 48 万人のユーザー データを完全にハッシュ解除」し、新しいデバイスでの XNUMX 時間の待機期間をスキップするために「バイパス」したと述べました。 Coinbase によると、この人物がそのような情報を持っていた場合、「善意」または「偶然」と見なされる範囲を超えて顧客データにアクセスしたことを意味します。 そのような場合、Coinbase は報奨金を支払うことができません。
この特定のケースでは、Coinbase は、参加者が虚偽の主張をしていると信じていると述べました。 参加者は、主張を検証できる情報を提供しなかったため、チームは賞金の要求を無視しました。 しかし、請求者が本当のことを言っていたとしても、彼らに報酬を支払うことは違法だったでしょう。
Coinbase はまた、脅威やその他の恐喝の試みがバグ報奨金の支払いにつながることはないことを強調しました。
「何よりも重要なのは、バグ報奨金の提出に脅迫や恐喝の試みが含まれてはならないということです。 私たちは、正当な発見に対して報奨金を支払うことに常にオープンです。 身代金の要求は、まったく別の問題です。」
バグ報奨金を支払う慣行は、時として物議をかもします。 批判者は、悪意のある行動を助長する可能性があると述べていますが、支持者は、脆弱性を安全に発見できることが多いと述べています。 19 月 XNUMX 日、攻撃者が Moola マーケットを流出させた 分散型ファイナンス(DeFi) 9 万ドル相当の暗号通貨のアプリ。 しかし、開発者が申し出たとき 攻撃者に 500,000 ドルを保持させる バグ報奨金として、攻撃者は残りの 8.5 万ドルを返しました。
同様の攻撃が分散型取引所の KyberSwap でも 265,000 月に発生しました。 この場合、攻撃者は XNUMX ドルを盗み、開発者は 彼らに15%を維持させることを申し出た 彼らが残りを返すなら、資金の。 事件の容疑者 後に特定された、しかし資金は返還されておらず、ハッカーはまだ逃走中のようです。
ソース: https://cointelegraph.com/news/coinbase-clarifies-bug-bounty-policy-in-response-to-uber-extortion-verdict