In een blogpost op 30 november probeerde Coinbase zijn bug bounty-programmabeleid te verduidelijken als reactie op het recente Uber-vonnis over datalekken.
Het bedrijf verklaarde dat het nog steeds "verantwoorde" openbaarmaking van beveiligingsproblemen verwelkomt, maar gebruikers die dit proces misbruiken, zullen geen beloningen voor bugs ontvangen:
“Het sleutelwoord bij dit alles is 'verantwoordelijk'. In de nasleep van het recente Uber-vonnis is er in de branche veel bezorgdheid over het feit dat inzendingen van bugbounty afpersingspogingen worden. Bij Coinbase […] hebben we veel nagedacht over hoe we ons bug bounty-programma uitvoeren om aan de goede kant van de wet te blijven.”
Het vonnis waarnaar Coinbase verwees, werd op 5 oktober uitgesproken. Joe Sullivan, voormalig beveiligingschef van Uber, werd schuldig bevonden aan samenzwering met aanvallers om bewijs van een datalek te verdoezelen, volgens een rapport van de Washington Post. Sullivan had oorspronkelijk beweerd dat de aanvallers de inbreuk hadden ingediend als een bugbounty en dat het bedrijf hen had betaald als een bugbounty-beloning.
Techbedrijven gebruiken vaak bugpremies om white hat-hackers aan te moedigen om beveiligingsproblemen op te sporen en te rapporteren. Maar het vonnis van Sullivan heeft de vraag doen rijzen hoe ver een bountyprogramma voor bugs kan gaan bij het toekennen van prijzen aan hackers zonder de wet zelf te overtreden.
In zijn bericht verklaarde Coinbase dat het een aantal bug bounty-deelnemers is tegengekomen die beweren criminele acties te hebben gepleegd waardoor het bedrijf niet in staat zou zijn legaal uit te betalen.
Een deelnemer stuurde bijvoorbeeld meerdere e-mails naar het team waarin hij zei dat ze "306 miljoen gebruikersgegevens volledig hadden verwijderd" en een "bypass" hadden om de wachttijd van 48 uur op nieuwe apparaten over te slaan. Volgens Coinbase, als deze persoon over dergelijke informatie beschikte, zou dit betekenen dat ze toegang hadden tot klantgegevens die verder gaan dan wat als "goede trouw" of "toevallig" kan worden beschouwd. In dat geval zou Coinbase de bounty niet kunnen betalen.
In dit specifieke geval zei Coinbase dat ze dachten dat de deelnemer een valse bewering deed. De deelnemer heeft geen informatie verstrekt waarmee de claim kan worden geverifieerd, dus negeerde het team het verzoek om een premie. Maar zelfs als de persoon die de claim indient de waarheid had verteld, zou het onwettig zijn geweest om de beloning aan hem uit te betalen.
Coinbase benadrukte ook dat bedreigingen of andere afpersingspogingen niet zullen resulteren in een uitbetaling van een bugbounty:
“Het belangrijkste van alles: een inzending van een bugbounty kan nooit bedreigingen of pogingen tot afpersing bevatten. We staan altijd open voor het betalen van premies voor legitieme bevindingen. Het eisen van losgeld is een heel andere zaak.'
De praktijk van het betalen van premies voor bugs is soms controversieel. Critici zeggen dat het kwaadaardig gedrag kan aanmoedigen, terwijl aanhangers zeggen dat kwetsbaarheden vaak veilig kunnen worden ontdekt. Op 19 oktober droogde een aanvaller de Moola-markt leeg gedecentraliseerde financiering (DeFi) app van $ 9 miljoen aan cryptocurrency. Maar toen de ontwikkelaar het aanbood laat de aanvaller $ 500,000 houden als bugbounty gaf de aanvaller de andere $ 8.5 miljoen terug.
Een soortgelijke aanval vond plaats in september op de gedecentraliseerde uitwisseling, KyberSwap. In dit geval stalen de aanvallers $ 265,000, en de ontwikkelaars aangeboden om ze 15% te laten houden van het geld als ze de rest zouden teruggeven. Verdachten in de zaak werden later geïdentificeerd, maar het geld is niet teruggestort en de hackers lijken nog steeds vrij rond te lopen.
Bron: https://cointelegraph.com/news/coinbase-clarifys-bug-bounty-policy-in-response-to-uber-extortion-verdict