بیانیه خط مشی بیان کرد که شرکت کنندگان نمی توانند تهدید کنند، از اخاذی استفاده کنند یا به داده های مشتری دسترسی داشته باشند، مگر در موارد تصادفی یا حسن نیت.
در یک پست وبلاگی در 30 نوامبر، Coinbase به دنبال شفافسازی سیاستهای برنامه پاداش باگ خود در پاسخ به تصمیم اخیر نقض اطلاعات Uber بود.
این شرکت گفت که از افشای «مسئولانه» مسائل امنیتی استقبال میکند، اما خاطرنشان کرد که پاداشهای باگ به کاربرانی که از این فرآیند سوء استفاده میکنند تعلق نمیگیرد:
کلمه کلیدی در همه اینها “مسئولیت” است. در پی تصمیم اخیر اوبر، نگرانی زیادی در صنعت وجود دارد که برنامههای پاداش باگ به تلاشهای اخاذی تبدیل میشوند. در کوین بیس، […] ما به این فکر کردیم که چگونه برنامه پاداش باگ خود را اجرا کنیم تا در سمت راست قانون باقی بمانیم.”
صفحه رسمی گزارش باگ باگ Coinbase در HackerOne
تصمیمی که کوین بیس به آن اشاره می کند در اکتبر گرفته شد. بر اساس گزارش واشنگتن پست، جو سالیوان، رئیس سابق امنیت Uber به دلیل همکاری با مهاجمان برای پنهان کردن شواهد مربوط به نقض داده ها، مجرم شناخته شد. سالیوان در ابتدا ادعا کرد که مهاجمان این نقض را به عنوان جایزه باگ ارائه کردند و شرکت به آنها به عنوان جایزه باگ پرداخت کرد.
شرکتهای فناوری اغلب از پاداشهای باگ برای تشویق هکرهای کلاه سفید برای یافتن و گزارش آسیبپذیریها استفاده میکنند. با این حال، تصمیم سالیوان این سوال را ایجاد می کند که یک برنامه پاداش باگ تا کجا می تواند در پاداش دادن به هکرها بدون نقض قانون پیش رود.
کوینبیس در پست خود اعلام کرد که با برخی از شرکتکنندگان در جایزه باگ مواجه شده است که ادعا میکنند این شرکت مرتکب اعمال مجرمانهای شده است که آنها را از پرداختهای قانونی باز میدارد.
برای مثال، یکی از شرکتکنندگان ایمیلهای متعددی را برای تیم ارسال کرد مبنی بر اینکه “306 میلیون داده کاربر کاملاً رمزگشایی شده است” و آنها در حال انجام یک “بای پس” برای دور زدن دوره انتظار 48 ساعته در دستگاههای جدید هستند. به گفته کوین بیس، داشتن چنین اطلاعاتی به این معنی است که این شخص به داده های مشتری فراتر از آنچه می تواند «خوش نیت» یا «تصادفی» در نظر گرفته شود، دسترسی داشته است. در چنین حالتی، Coinbase قادر به پرداخت پاداش نخواهد بود.
در این مورد خاص، Coinbase گفت که آنها معتقدند که شرکت کننده ادعای نادرستی داشته است. شرکتکننده هیچ اطلاعاتی ارائه نکرد که به تأیید این ادعا اجازه دهد، بنابراین تیم درخواست جایزه را نادیده گرفت. اما حتی اگر شخصی که ادعا می کند حقیقت را گفته باشد، پرداخت جایزه به آنها غیرقانونی است.
کوین بیس همچنین تاکید کرد که تهدیدات یا سایر تلاشهای اخاذی منجر به پرداخت پاداش خطا نمیشود:
“مهمتر از همه این است که ارسال جایزه باگ هرگز نمی تواند حاوی تهدید یا هرگونه تلاش برای اخاذی باشد. ما همیشه آماده پرداخت پاداش برای یافته های قانونی هستیم. درخواست باج یک موضوع کاملاً متفاوت است.”
روش پرداخت پاداش حشرات گاهی اوقات بحث برانگیز است. منتقدان میگویند که میتواند رفتارهای مخرب را تشویق کند، در حالی که حامیان میگویند که اغلب اجازه میدهد آسیبپذیریها با خیال راحت کشف شوند. در 19 اکتبر، یک مهاجم 9 میلیون دلار ارز دیجیتال را از اپلیکیشن Moola Market DeFi خارج کرد. اما زمانی که توسعهدهنده پیشنهاد داد به مهاجم اجازه دهد 500000 دلار پاداش باگ نگه دارد، مهاجم 8.5 میلیون دلار دیگر را پس داد.
حمله مشابهی در صرافی غیرمتمرکز KyberSwap در ماه سپتامبر رخ داد. در این مورد، مهاجمان 265000 دلار را دزدیدند و توسعه دهندگان به آنها پیشنهاد دادند که در صورت بازگرداندن بقیه، 15 درصد از وجوه را نگه دارند. مظنونان این پرونده بعداً شناسایی شدند، اما وجوه برگردانده نشد و به نظر میرسد هکرها همچنان آزاد هستند.
نویسنده: Tom Blackstone
