Në një postim në blog më 30 nëntor, Coinbase u përpoq të qartësonte politikat e programit të saj të shpërblimit të gabimeve në përgjigje të vendimit të fundit të shkeljes së të dhënave të Uber.
Kompania deklaroi se ende mirëpret zbulimin "përgjegjës" të çështjeve të sigurisë, por përdoruesit që abuzojnë me këtë proces nuk do të marrin shpërblime për gabimet:
“Fjala kyçe në gjithë këtë është 'përgjegjësi'. Në vazhdën e vendimit të fundit të Uber, ka shumë shqetësime në industri në lidhje me paraqitjet e shpërblimeve të gabimeve që bëhen përpjekje për zhvatje. Në Coinbase, […] ne kemi menduar shumë për mënyrën se si e operojmë programin tonë të shpërblimit të gabimeve për të qëndruar në anën e duhur të ligjit.”
Vendimi të cilit i referohej Coinbase u dha më 5 tetor. Joe Sullivan, ish-shefi i sigurisë së Uber, u shpall fajtor për bashkëpunim me sulmuesit për të mbuluar provat e një shkeljeje të të dhënave, sipas një raporti nga Washington Post. Sullivan fillimisht kishte pohuar se sulmuesit e kishin paraqitur shkeljen si një shpërblim për gabimet dhe se kompania i kishte paguar ata si një shpërblim për defektet.
Kompanitë e teknologjisë shpesh përdorin shpërblime të gabimeve për të inkurajuar hakerat e kapelave të bardha që të gjejnë dobësitë e sigurisë dhe t'i raportojnë ato. Por, verdikti i Sullivan ka ngritur pyetjen se sa larg mund të shkojë një program i bugimit të gabimeve në dhënien e çmimeve për hakerat pa shkelur vetë ligjin.
Në postimin e saj, Coinbase deklaroi se ka hasur në disa pjesëmarrës të shpërblimit të gabimeve, të cilët pretendojnë se kanë kryer veprime kriminale që do të pengonin kompaninë të ishte në gjendje të bënte ligjërisht një pagesë.
Për shembull, një pjesëmarrës i dërgoi shumë email ekipit duke thënë se ata kishin "të dhënat e 306 milionë përdoruesve të hequra plotësisht" dhe një "bypass" për të kapërcyer periudhën 48-orëshe të pritjes në pajisjet e reja. Sipas Coinbase, nëse ky person do të kishte një informacion të tillë, do të nënkuptonte se ata kishin akses në të dhënat e klientit përtej asaj që mund të konsiderohet "i mirëbesim" ose "aksidental". Në një rast të tillë, Coinbase nuk do të ishte në gjendje të paguante shpërblimin.
Në këtë rast të veçantë, Coinbase tha se ata besonin se pjesëmarrësi po bënte një pretendim të rremë. Pjesëmarrësi nuk dha asnjë informacion që do të lejonte verifikimin e pretendimit, kështu që ekipi e injoroi kërkesën për një shpërblim. Por edhe nëse personi që bën pretendimin do të kishte thënë të vërtetën, do të ishte e paligjshme t'i paguante shpërblimin.
Coinbase theksoi gjithashtu se kërcënimet ose përpjekjet e tjera për zhvatje nuk do të rezultojnë në një pagesë të shpërblimit të gabimeve:
"Më e rëndësishmja nga të gjitha - një dorëzim i bujarisë së gabimeve nuk mund të përmbajë kurrë kërcënime ose përpjekje për zhvatje. Ne jemi gjithmonë të hapur për të paguar shpërblime për gjetjet legjitime. Kërkesat për shpërblesë janë një çështje krejtësisht tjetër.”
Praktika e pagesës së shpërblimeve të gabimeve është ndonjëherë e diskutueshme. Kritikët thonë se mund të inkurajojë sjelljen keqdashëse, ndërsa mbështetësit thonë se shpesh lejon zbulimin e sigurt të dobësive. Më 19 tetor, një sulmues kulloi tregun Moola financa e decentralizuar (DeFi) aplikacion kriptomonedhë me vlerë 9 milionë dollarë. Por kur zhvilluesi i ofroi le të mbajë sulmuesi 500,000 dollarë si shpërblim për gabimet, sulmuesi i ktheu 8.5 milionë dollarët e tjerë.
Një sulm i ngjashëm ndodhi në bursën e decentralizuar, KyberSwap, në shtator. Në këtë rast, sulmuesit vodhën 265,000 dollarë, dhe zhvilluesit ofroi t'i linte të mbanin 15% të fondeve nëse do të kthenin pjesën tjetër. Të dyshuarit në rastin u identifikuan më vonë, por fondet nuk janë kthyer dhe hakerët duket se janë ende të lirë.
Burimi: https://cointelegraph.com/news/coinbase-clarifies-bug-bounty-policy-in-response-to-uber-extortion-verdict