بیانیه خط مشی بیان کرد که شرکت کنندگان نمی توانند تهدید کنند، از اخاذی استفاده کنند یا به داده های مشتری دسترسی داشته باشند، مگر در موارد تصادفی یا حسن نیت.

در یک پست وبلاگی در 30 نوامبر، Coinbase به دنبال شفاف‌سازی سیاست‌های برنامه پاداش باگ خود در پاسخ به تصمیم اخیر نقض اطلاعات Uber بود.

این شرکت گفت که از افشای «مسئولانه» مسائل امنیتی استقبال می‌کند، اما خاطرنشان کرد که پاداش‌های باگ به کاربرانی که از این فرآیند سوء استفاده می‌کنند تعلق نمی‌گیرد:

کلمه کلیدی در همه اینها “مسئولیت” است. در پی تصمیم اخیر اوبر، نگرانی زیادی در صنعت وجود دارد که برنامه‌های پاداش باگ به تلاش‌های اخاذی تبدیل می‌شوند. در کوین بیس، […] ما به این فکر کردیم که چگونه برنامه پاداش باگ خود را اجرا کنیم تا در سمت راست قانون باقی بمانیم.”

صفحه رسمی گزارش باگ باگ Coinbase در HackerOne

تصمیمی که کوین بیس به آن اشاره می کند در اکتبر گرفته شد. بر اساس گزارش واشنگتن پست، جو سالیوان، رئیس سابق امنیت Uber به دلیل همکاری با مهاجمان برای پنهان کردن شواهد مربوط به نقض داده ها، مجرم شناخته شد. سالیوان در ابتدا ادعا کرد که مهاجمان این نقض را به عنوان جایزه باگ ارائه کردند و شرکت به آنها به عنوان جایزه باگ پرداخت کرد.

شرکت‌های فناوری اغلب از پاداش‌های باگ برای تشویق هکرهای کلاه سفید برای یافتن و گزارش آسیب‌پذیری‌ها استفاده می‌کنند. با این حال، تصمیم سالیوان این سوال را ایجاد می کند که یک برنامه پاداش باگ تا کجا می تواند در پاداش دادن به هکرها بدون نقض قانون پیش رود.

کوین‌بیس در پست خود اعلام کرد که با برخی از شرکت‌کنندگان در جایزه باگ مواجه شده است که ادعا می‌کنند این شرکت مرتکب اعمال مجرمانه‌ای شده است که آنها را از پرداخت‌های قانونی باز می‌دارد.

برای مثال، یکی از شرکت‌کنندگان ایمیل‌های متعددی را برای تیم ارسال کرد مبنی بر اینکه “306 میلیون داده کاربر کاملاً رمزگشایی شده است” و آنها در حال انجام یک “بای پس” برای دور زدن دوره انتظار 48 ساعته در دستگاه‌های جدید هستند. به گفته کوین بیس، داشتن چنین اطلاعاتی به این معنی است که این شخص به داده های مشتری فراتر از آنچه می تواند «خوش نیت» یا «تصادفی» در نظر گرفته شود، دسترسی داشته است. در چنین حالتی، Coinbase قادر به پرداخت پاداش نخواهد بود.

در این مورد خاص، Coinbase گفت که آنها معتقدند که شرکت کننده ادعای نادرستی داشته است. شرکت‌کننده هیچ اطلاعاتی ارائه نکرد که به تأیید این ادعا اجازه دهد، بنابراین تیم درخواست جایزه را نادیده گرفت. اما حتی اگر شخصی که ادعا می کند حقیقت را گفته باشد، پرداخت جایزه به آنها غیرقانونی است.

کوین بیس همچنین تاکید کرد که تهدیدات یا سایر تلاش‌های اخاذی منجر به پرداخت پاداش خطا نمی‌شود:

“مهمتر از همه این است که ارسال جایزه باگ هرگز نمی تواند حاوی تهدید یا هرگونه تلاش برای اخاذی باشد. ما همیشه آماده پرداخت پاداش برای یافته های قانونی هستیم. درخواست باج یک موضوع کاملاً متفاوت است.”

روش پرداخت پاداش حشرات گاهی اوقات بحث برانگیز است. منتقدان می‌گویند که می‌تواند رفتارهای مخرب را تشویق کند، در حالی که حامیان می‌گویند که اغلب اجازه می‌دهد آسیب‌پذیری‌ها با خیال راحت کشف شوند. در 19 اکتبر، یک مهاجم 9 میلیون دلار ارز دیجیتال را از اپلیکیشن Moola Market DeFi خارج کرد. اما زمانی که توسعه‌دهنده پیشنهاد داد به مهاجم اجازه دهد 500000 دلار پاداش باگ نگه دارد، مهاجم 8.5 میلیون دلار دیگر را پس داد.

حمله مشابهی در صرافی غیرمتمرکز KyberSwap در ماه سپتامبر رخ داد. در این مورد، مهاجمان 265000 دلار را دزدیدند و توسعه دهندگان به آنها پیشنهاد دادند که در صورت بازگرداندن بقیه، 15 درصد از وجوه را نگه دارند. مظنونان این پرونده بعداً شناسایی شدند، اما وجوه برگردانده نشد و به نظر می‌رسد هکرها همچنان آزاد هستند.

نویسنده: Tom Blackstone