پس از حکم اخاذی اوبر، کوین‌بیس سیاست پاداش باگ را روشن می‌کند

شفاف‌سازی خط‌مشی بیان می‌کند که شرکت‌کنندگان نمی‌توانند تهدید، اجبار یا دسترسی به داده‌های مشتری فراتر از آنچه اتفاقی یا با حسن نیت رخ داده است، داشته باشند.

در یک پست وبلاگی در 30 نوامبر، کوین بیس به دنبال این بود که خط مشی برنامه پاداش باگ خود را به دنبال حکم اخیر نقض اطلاعات Uber روشن کند.

این شرکت می گوید که همچنان از افشای «مسئولانه» مسائل امنیتی استقبال خواهد کرد، اما هیچ جایزه باگ به کاربرانی که از این فرآیند سوء استفاده کنند تعلق نمی گیرد.

“کلمه کلیدی در همه اینها “مسئولیت” است. نگرانی های زیادی در صنعت در مورد ثبت جایزه باگ وجود دارد که به دنبال حکم اخیر اوبر به یک تلاش اخاذی تبدیل می شود. […] برای پیروی از قانون، ما در مورد نحوه اجرای برنامه پاداش باگ خود فکر زیادی کرده ایم. ”

صفحه گزارش رسمی باگ باگ HackerOne در Coinbase

قضاوتی که Coinbase به آن اشاره می کرد در 5 اکتبر صادر شد. بر اساس گزارش واشنگتن پست، جو سالیوان، رئیس سابق امنیت Uber به اتهام توطئه با مهاجمان برای پنهان کردن شواهد نقض داده‌ها مجرم شناخته شد. سالیوان در ابتدا ادعا کرد که مهاجمان تخلفات را به عنوان جایزه باگ ارائه کرده اند و این شرکت به آنها جایزه باگ پرداخت کرده است.

شرکت‌های فناوری اغلب از پاداش‌های باگ برای تشویق هکرهای کلاه سفید برای یافتن و گزارش آسیب‌پذیری‌های امنیتی استفاده می‌کنند. اما حکم سالیوان این سوال را مطرح کرد که برنامه پاداش باگ تا کجا می‌تواند برای پاداش دادن به هکرها بدون نقض خود قانون پیش رود.

در یک پست، کوین‌بیس گفت که با یک شرکت‌کننده جایزه باگ مواجه شده است که ادعا می‌کرد مرتکب اعمال مجرمانه‌ای شده است که شرکت را از پرداخت قانونی باز می‌دارد.

برای مثال، شرکت‌کنندگان ایمیل‌های متعددی را به تیم ارسال کردند مبنی بر اینکه یک «بای‌پس» دارند که «اطلاعات 306 میلیون کاربر را به طور کامل حذف می‌کند» و دوره انتظار 48 ساعته را در دستگاه‌های جدید رد می‌کند. به گفته کوین بیس، اگر این شخص چنین اطلاعاتی را داشته باشد، به این معنی است که به داده های مشتری فراتر از آنچه می تواند «خوش نیت» یا «تصادفی» در نظر گرفته شود، دسترسی داشته است. در چنین مواردی، Coinbase قادر به پرداخت پاداش نخواهد بود.

در این مورد خاص، کوین بیس گفت که معتقد است شرکت کنندگان ادعاهای نادرستی دارند. شرکت‌کننده هیچ اطلاعاتی ارائه نکرد که به تأیید این ادعا اجازه دهد، و تیم درخواست جایزه را نادیده گرفت. اما حتی اگر مدعیان حقیقت را می گفتند، پرداخت به آنها غیرقانونی بود.

کوین بیس همچنین تاکید کرد که تهدیدها و سایر تلاش‌های اخاذی منجر به پرداخت پاداش باگ نمی‌شود.

“مهمتر از همه، ارسال پاداش اشکالات نباید حاوی هیچ گونه تهدید یا تلاش برای اخاذی باشد. ما همیشه آماده پرداخت جایزه برای اکتشافات قانونی هستیم. درخواست باج.” یک موضوع کاملاً متفاوت است.”

روش پرداخت پاداش اشکال گاهی اوقات بحث برانگیز است. منتقدان می گویند که می تواند رفتارهای مخرب را تشویق کند، اما طرفداران می گویند آسیب پذیری ها اغلب می توانند با خیال راحت کشف شوند. در 19 اکتبر، مهاجمان 9 میلیون دلار ارز دیجیتال را از اپلیکیشن Moola Market DeFi استخراج کردند. با این حال، زمانی که توسعه‌دهنده پیشنهاد داد به مهاجم 500000 دلار به عنوان پاداش باگ بدهد، مهاجم 8.5 میلیون دلار باقی مانده را پس داد.

در سپتامبر، حمله مشابهی در صرافی غیرمتمرکز KyberSwap رخ داد. در این مورد، مهاجم 265000 دلار را دزدید و توسعه دهنده پیشنهاد داد در صورت بازگرداندن بقیه، 15 درصد از وجوه را نگه دارد. بعداً یکی از مظنونان این پرونده شناسایی شد، اما وجوه هرگز بازگردانده نشد و به نظر می‌رسد هکرها هنوز فراری هستند.

نویسنده: Tom Blackstone