Coinbase, 30 Kasım tarihli bir blog gönderisinde, son Uber veri ihlali kararına yanıt olarak hata ödül programı politikalarını netleştirmeye çalıştı.
Şirket, güvenlik sorunlarının "sorumlu" bir şekilde açıklanmasını memnuniyetle karşıladığını ancak bu süreci kötüye kullanan kullanıcılara hata ödülleri verilmeyeceğini belirtti:
“Bütün bunlardaki anahtar kelime 'sorumlu'. Yakın tarihli Uber kararının ardından, sektörde bug bounty başvurularının haraç girişimlerine dönüşmesi konusunda çok fazla endişe var. Coinbase'de […] yasanın doğru tarafında kalmak için böcek ödül programımızı nasıl yürüttüğümüz konusunda çok düşündük.”
Coinbase'in atıfta bulunduğu karar 5 Ekim'de verildi. Washington Post'un bir haberine göre, eski Uber güvenlik şefi Joe Sullivan, bir veri ihlaline ilişkin kanıtları örtbas etmek için saldırganlarla işbirliği yapmaktan suçlu bulundu. Sullivan başlangıçta saldırganların ihlali bir böcek ödülü olarak sunduğunu ve şirketin onlara böcek ödülü olarak ödeme yaptığını iddia etmişti.
Teknoloji şirketleri, beyaz şapkalı bilgisayar korsanlarını güvenlik açıklarını bulmaya ve bunları bildirmeye teşvik etmek için genellikle hata ödüllerini kullanır. Ancak Sullivan'ın kararı, bir bug bounty programının yasalara ters düşmeden bilgisayar korsanlarına ödül vermede ne kadar ileri gidebileceği sorusunu gündeme getirdi.
Coinbase yaptığı gönderide, şirketin yasal olarak ödeme yapmasını engelleyecek suç eylemleri işlediğini iddia eden bazı bug bounty katılımcılarıyla karşılaştığını belirtti.
Örneğin, bir katılımcı, ekibe "306 milyon kullanıcı verilerinin tamamen silindiğini" ve yeni cihazlarda 48 saatlik bekleme süresini atlamak için bir "bypass" olduğunu söyleyen birden fazla e-posta gönderdi. Coinbase'e göre, bu kişinin böyle bir bilgiye sahip olması, müşteri verilerine "iyi niyet" veya "kazara" olarak değerlendirilebilecek durumların ötesinde eriştiği anlamına gelir. Böyle bir durumda Coinbase ödülü ödeyemeyecektir.
Bu özel durumda Coinbase, katılımcının yanlış bir iddiada bulunduğuna inandıklarını söyledi. Katılımcı, iddianın doğrulanmasına izin verecek herhangi bir bilgi sağlamadı, bu nedenle ekip, ödül talebini görmezden geldi. Ancak iddiada bulunan kişi doğruyu söylemiş olsa bile, onlara ödülün ödenmesi yasa dışı olurdu.
Coinbase ayrıca, tehditlerin veya diğer gasp girişimlerinin bir hata ödülü ödemesiyle sonuçlanmayacağını da vurguladı:
"En önemlisi - bir hata ödülü gönderimi asla tehdit veya herhangi bir gasp girişimi içeremez. Meşru bulgular için ödül ödemeye her zaman açığız. Fidye talepleri tamamen farklı bir konu.”
Böcek ödüllerini ödeme uygulaması bazen tartışmalıdır. Eleştirmenler, kötü niyetli davranışları teşvik edebileceğini söylerken, destekçiler genellikle güvenlik açıklarının güvenli bir şekilde keşfedilmesine izin verdiğini söylüyor. 19 Ekim'de bir saldırgan Moola Pazarını boşalttı merkezi olmayan finans (DeFi) 9 milyon dolar değerinde kripto para birimi uygulaması. Ancak geliştirici teklif ettiğinde Saldırganın 500,000 doları tutmasına izin verin bir böcek ödülü olarak, saldırgan diğer 8.5 milyon doları iade etti.
Eylül ayında merkezi olmayan borsa KyberSwap'te benzer bir saldırı meydana geldi. Bu durumda, saldırganlar 265,000 $ çaldı ve geliştiriciler % 15'i tutmalarına izin vermeyi teklif etti geri kalanını iade edeceklerse fonların. Davadaki şüpheliler sonradan tespit edildi, ancak fonlar iade edilmedi ve bilgisayar korsanları hala serbest görünüyor.
Kaynak: https://cointelegraph.com/news/coinbase-clarify-bug-bounty-policy-in-response-to-uber-extortion-verdict