En una publicación de blog del 30 de noviembre, Coinbase buscó aclarar sus políticas del programa de recompensas por errores en respuesta al reciente veredicto de violación de datos de Uber.
La compañía declaró que aún acepta la divulgación "responsable" de problemas de seguridad, pero los usuarios que abusen de este proceso no recibirán recompensas por errores:
“La palabra clave en todo esto es 'responsable'. A raíz del reciente veredicto de Uber, existe una gran preocupación en la industria acerca de que las presentaciones de recompensas por errores se conviertan en intentos de extorsión. En Coinbase, […] hemos pensado mucho en cómo operamos nuestro programa de recompensas por errores para permanecer en el lado correcto de la ley”.
El veredicto al que se refería Coinbase se emitió el 5 de octubre. Joe Sullivan, exjefe de seguridad de Uber, fue declarado culpable de colusión con atacantes para encubrir evidencia de una violación de datos, según un informe del Washington Post. Sullivan había afirmado originalmente que los atacantes habían presentado la infracción como una recompensa por errores y que la empresa les había pagado como recompensa por una recompensa por errores.
Las empresas de tecnología a menudo usan recompensas por errores para alentar a los piratas informáticos de sombrero blanco a encontrar vulnerabilidades de seguridad y reportarlas. Pero, el veredicto de Sullivan ha planteado la cuestión de hasta dónde puede llegar un programa de recompensas por errores para otorgar premios a los piratas informáticos sin infringir la ley misma.
En su publicación, Coinbase declaró que se ha encontrado con algunos participantes de recompensas por errores que afirman haber cometido acciones delictivas que evitarían que la empresa pudiera realizar un pago legalmente.
Por ejemplo, un participante envió varios correos electrónicos al equipo diciendo que tenían "306 millones de datos de usuarios completamente eliminados" y un "bypass" para omitir el período de espera de 48 horas en los nuevos dispositivos. Según Coinbase, si esta persona tuviera dicha información, significaría que accedió a los datos del cliente más allá de lo que podría considerarse "de buena fe" o "accidental". En tal caso, Coinbase no podría pagar la recompensa.
En este caso particular, Coinbase dijo que creía que el participante estaba haciendo un reclamo falso. El participante no proporcionó ninguna información que permitiera verificar el reclamo, por lo que el equipo ignoró la solicitud de recompensa. Pero incluso si la persona que hizo el reclamo hubiera dicho la verdad, habría sido ilegal pagarle la recompensa.
Coinbase también enfatizó que las amenazas u otros intentos de extorsión no resultarán en el pago de una recompensa por errores:
“Lo más importante de todo: un envío de recompensas por errores nunca puede contener amenazas o intentos de extorsión. Siempre estamos abiertos a pagar recompensas por hallazgos legítimos. Las demandas de rescate son un asunto completamente diferente.
La práctica de pagar recompensas por errores a veces es controvertida. Los críticos dicen que puede alentar el comportamiento malicioso, mientras que los partidarios dicen que a menudo permite descubrir vulnerabilidades de manera segura. El 19 de octubre, un atacante vació el Moola Market finanzas descentralizadas (DeFi) aplicación de $ 9 millones en criptomonedas. Pero cuando el desarrollador se ofreció a dejar que el atacante se quede con $ 500,000 como recompensa por el error, el atacante devolvió los otros 8.5 millones de dólares.
Un ataque similar ocurrió en el intercambio descentralizado, KyberSwap, en septiembre. En este caso, los atacantes robaron $265,000 y los desarrolladores ofreció dejarles quedarse con el 15% de los fondos si devolvieran el resto. Sospechosos en el caso más tarde fueron identificados, pero los fondos no han sido devueltos y los piratas informáticos parecen seguir prófugos.
Fuente: https://cointelegraph.com/news/coinbase-clarifies-bug-bounty-policy-in-response-to-uber-extortion-verdict