У посту на блогу од 30. новембра, Цоинбасе је покушао да разјасни своје политике програма за награђивање грешака као одговор на недавну Уберову пресуду о кршењу података.
Компанија је навела да и даље поздравља „одговорно“ откривање безбедносних проблема, али корисници који злоупотребе овај процес неће добити награде за грешке:
„Кључна реч у свему овоме је 'одговоран'. Након недавне пресуде Убер-а, у индустрији постоји велика забринутост због тога што подношење награда за грешке постаје покушај изнуде. У Цоинбасе-у, […] смо много размишљали о томе како управљамо нашим програмом за награђивање грешака да бисмо остали на правој страни закона.“
Пресуда на коју се Цоинбасе позива издата је 5. октобра. Џо Саливан, бивши шеф обезбеђења Убера, проглашен је кривим за дослух са нападачима како би прикрио доказе о кршењу података, према извештају Вашингтон поста. Саливан је првобитно тврдио да су нападачи пријавили кршење као награду за бубе и да им је компанија платила као награду за бубе.
Технолошке компаније често користе награде за грешке како би подстакле беле хакере да пронађу безбедносне пропусте и пријаве их. Али, пресуда Саливену покренула је питање колико далеко програм за награђивање грешака може ићи у додељивању награда хакерима без кршења самог закона.
У свом посту, Цоинбасе је навео да је наишао на неке учеснике награде за грешке који тврде да су починили криминалне радње које би спречиле компанију да легално изврши исплату.
На пример, учесник је тиму послао више е-порука у којима је рекао да су „подаци о 306 милиона корисника потпуно дехеширани“ и „бајпас“ да се прескочи период чекања од 48 сати на новим уређајима. Према Цоинбасе-у, ако би ова особа имала такве информације, то би значило да је приступила подацима о клијентима изван онога што би се могло сматрати „у доброј намери“ или „случајним“. У том случају, Цоинбасе не би могао да плати награду.
У овом конкретном случају, Цоинбасе је рекао да верују да је учесник износио лажну тврдњу. Учесник није дао никакве информације које би омогућиле да се тврдња потврди, па је тим игнорисао захтев за награду. Али чак и да је особа која је тврдила говорила истину, било би незаконито да им се исплати награда.
Цоинбасе је такође нагласио да претње или други покушаји изнуде неће довести до исплате награде за грешке:
„Најважније од свега — пријава за награду за грешке никада не може садржати претње или покушаје изнуде. Увек смо отворени за плаћање награда за легитимне налазе. Захтеви за откуп су сасвим друга ствар."
Пракса плаћања награда за грешке понекад је контроверзна. Критичари кажу да може да подстакне злонамерно понашање, док присталице кажу да често омогућава безбедно откривање рањивости. Дана 19. октобра, нападач је исушио пијацу Моола децентрализоване финансије (ДеФи) апликација од 9 милиона долара криптовалуте. Али када је програмер понудио да нека нападач задржи 500,000 долара као награду за бубе, нападач је вратио осталих 8.5 милиона долара.
Сличан напад се догодио на децентрализовану берзу, КиберСвап, у септембру. У овом случају, нападачи су украли 265,000 долара, а програмери понудио им да задрже 15% средстава ако би вратили остатак. Осумњичени у случају касније су идентификовани, али средства нису враћена, а изгледа да су хакери и даље на слободи.
Извор: хттпс://цоинтелеграпх.цом/невс/цоинбасе-цларифиес-буг-боунти-полици-ин-респонсе-то-убер-ектортион-вердицт