Dans un article de blog du 30 novembre, Coinbase a cherché à clarifier les politiques de son programme de primes de bogues en réponse au récent verdict de violation de données d'Uber.
La société a déclaré qu'elle accueillait toujours favorablement la divulgation « responsable » des problèmes de sécurité, mais les utilisateurs qui abusent de ce processus ne recevront pas de primes de bogue :
« Le mot clé dans tout cela est 'responsable'. À la suite du récent verdict d'Uber, l'industrie s'inquiète beaucoup du fait que les soumissions de primes aux bogues deviennent des tentatives d'extorsion. Chez Coinbase, […] nous avons beaucoup réfléchi à la façon dont nous gérons notre programme de primes de bogues pour rester du bon côté de la loi.
Le verdict auquel Coinbase faisait référence a été rendu le 5 octobre. Joe Sullivan, ancien chef de la sécurité d'Uber, a été reconnu coupable de collusion avec des attaquants pour dissimuler des preuves d'une violation de données, selon un rapport du Washington Post. Sullivan avait initialement affirmé que les attaquants avaient soumis la violation en tant que prime de bogue et que la société les avait payés en tant que récompense de prime de bogue.
Les entreprises technologiques utilisent souvent des primes de bogue pour encourager les pirates informatiques à trouver des vulnérabilités de sécurité et à les signaler. Mais le verdict de Sullivan a soulevé la question de savoir jusqu'où un programme de primes aux bogues peut aller en attribuant des prix aux pirates sans enfreindre la loi elle-même.
Dans son message, Coinbase a déclaré avoir rencontré des participants à la prime de bogues qui prétendent avoir commis des actions criminelles qui empêcheraient l'entreprise de pouvoir effectuer légalement un paiement.
Par exemple, un participant a envoyé plusieurs e-mails à l'équipe disant qu'ils avaient "306 millions de données d'utilisateurs entièrement décryptées" et un "contournement" pour sauter la période d'attente de 48 heures sur les nouveaux appareils. Selon Coinbase, si cette personne disposait de telles informations, cela signifierait qu'elle a accédé aux données des clients au-delà de ce qui pourrait être considéré comme de "bonne foi" ou "accidentel". Dans un tel cas, Coinbase ne serait pas en mesure de payer la prime.
Dans ce cas particulier, Coinbase a déclaré croire que le participant faisait une fausse déclaration. Le participant n'a fourni aucune information permettant de vérifier la réclamation, de sorte que l'équipe a ignoré la demande de prime. Mais même si la personne faisant la réclamation avait dit la vérité, il aurait été illégal de lui verser la récompense.
Coinbase a également souligné que les menaces ou autres tentatives d'extorsion n'entraîneront pas de paiement de prime de bogue :
"Le plus important de tous - une soumission de prime de bogue ne peut jamais contenir de menaces ou de tentatives d'extorsion. Nous sommes toujours ouverts à payer des primes pour des découvertes légitimes. Les demandes de rançon sont une tout autre affaire.
La pratique de payer des primes de bogue est parfois controversée. Les critiques disent que cela peut encourager les comportements malveillants, tandis que les partisans disent que cela permet souvent de découvrir les vulnérabilités en toute sécurité. Le 19 octobre, un attaquant a vidé le marché de Moola finance décentralisée (DeFi) application de 9 millions de dollars de crypto-monnaie. Mais lorsque le développeur a proposé de laisser l'attaquant garder 500,000 XNUMX $ en prime de bogue, l'attaquant a rendu les 8.5 millions de dollars restants.
Une attaque similaire s'est produite sur l'échange décentralisé, KyberSwap, en septembre. Dans ce cas, les attaquants ont volé 265,000 XNUMX $ et les développeurs offert de les laisser garder 15% des fonds s'ils remboursaient le reste. Suspects dans l'affaire ont ensuite été identifiés, mais les fonds n'ont pas été restitués et les pirates semblent toujours en fuite.
Source : https://cointelegraph.com/news/coinbase-clarifies-bug-bounty-policy-in-response-to-uber-extortion-verdict