Em uma postagem de blog em 30 de novembro, a Coinbase procurou esclarecer suas políticas de programa de recompensas de bugs em resposta ao recente veredicto de violação de dados do Uber.
A empresa afirmou que ainda aceita a divulgação “responsável” de problemas de segurança, mas os usuários que abusam desse processo não receberão recompensas de bugs:
“A palavra-chave em tudo isso é 'responsável'. Após o recente veredicto do Uber, há muita preocupação na indústria sobre os envios de recompensas por bugs se tornarem tentativas de extorsão. Na Coinbase, [...] pensamos muito em como operamos nosso programa de recompensas de bugs para permanecer do lado certo da lei.
O veredicto ao qual a Coinbase se referia foi emitido em 5 de outubro. Joe Sullivan, ex-chefe de segurança do Uber, foi considerado culpado de conluio com invasores para encobrir evidências de violação de dados, de acordo com um relatório do Washington Post. Sullivan alegou originalmente que os invasores enviaram a violação como recompensa por bug e que a empresa os pagou como recompensa por bug.
As empresas de tecnologia costumam usar recompensas de bugs para encorajar hackers de chapéu branco a encontrar vulnerabilidades de segurança e denunciá-las. Mas, o veredicto de Sullivan levantou a questão de até que ponto um programa de recompensas por bugs pode conceder prêmios a hackers sem entrar em conflito com a própria lei.
Em seu post, a Coinbase afirmou que encontrou alguns participantes do bug bounty que alegam ter cometido ações criminosas que impediriam a empresa de fazer um pagamento legalmente.
Por exemplo, um participante enviou vários e-mails para a equipe dizendo que tinha “dados de 306 milhões de usuários totalmente dehashed” e um “bypass” para pular o período de espera de 48 horas em novos dispositivos. De acordo com a Coinbase, se essa pessoa tivesse essas informações, isso significaria que ela acessou os dados do cliente além do que poderia ser considerado “boa fé” ou “acidental”. Nesse caso, a Coinbase não seria capaz de pagar a recompensa.
Nesse caso específico, a Coinbase disse acreditar que o participante estava fazendo uma alegação falsa. O participante não forneceu nenhuma informação que permitisse verificar a reivindicação, então a equipe ignorou o pedido de recompensa. Mas mesmo que a pessoa que fez a reclamação estivesse dizendo a verdade, seria ilegal pagar a recompensa a ela.
A Coinbase também enfatizou que ameaças ou outras tentativas de extorsão não resultarão em um pagamento de recompensa por bug:
“O mais importante de tudo - um envio de recompensa por bug nunca pode conter ameaças ou tentativas de extorsão. Estamos sempre abertos a pagar recompensas por descobertas legítimas. As exigências de resgate são uma questão totalmente diferente.
A prática de pagar recompensas por bugs às vezes é controversa. Os críticos dizem que isso pode encorajar comportamentos maliciosos, enquanto os defensores dizem que muitas vezes permite que vulnerabilidades sejam descobertas com segurança. Em 19 de outubro, um invasor drenou o Moola Market financiamento descentralizado (DeFi) app de $ 9 milhões em criptomoeda. Mas quando o desenvolvedor se ofereceu para deixe o invasor ficar com $ 500,000 como recompensa pelo bug, o invasor devolveu os outros $ 8.5 milhões.
Um ataque semelhante ocorreu na exchange descentralizada, KyberSwap, em setembro. Nesse caso, os invasores roubaram US$ 265,000 e os desenvolvedores oferecido para deixá-los manter 15% dos fundos se eles devolveriam o resto. Suspeitos do caso foram posteriormente identificados, mas os fundos não foram devolvidos e os hackers parecem ainda estar foragidos.
Fonte: https://cointelegraph.com/news/coinbase-clarify-bug-bounty-policy-in-response-to-uber-extortion-verdict