30월 XNUMX일 블로그 게시물에서 Coinbase는 최근 Uber 데이터 위반 평결에 대응하여 버그 바운티 프로그램 정책을 명확히 하고자 했습니다.
회사는 여전히 보안 문제의 "책임 있는" 공개를 환영하지만 이 프로세스를 남용하는 사용자는 버그 바운티를 받지 못할 것이라고 밝혔습니다.
“이 모든 것의 핵심 단어는 '책임감'입니다. 최근 Uber 판결 이후 업계에서는 버그 바운티 제출이 갈취 시도가 되는 것에 대해 많은 우려를 표하고 있습니다. Coinbase에서 […] 우리는 법의 올바른 편에 머물기 위해 버그 바운티 프로그램을 운영하는 방법에 대해 많은 생각을 했습니다.”
코인베이스가 언급한 평결은 5월 XNUMX일에 내려졌다. 전 우버 보안 책임자인 조 설리반은 데이터 유출 증거를 은폐하기 위해 공격자와 공모한 혐의로 유죄 판결을 받았다고 워싱턴 포스트가 보도했다. Sullivan은 원래 공격자가 위반을 버그 포상금으로 제출했고 회사가 버그 포상금으로 그들에게 지급했다고 주장했습니다.
기술 회사는 화이트 햇 해커가 보안 취약점을 찾아 보고하도록 장려하기 위해 종종 버그 포상금을 사용합니다. 그러나 Sullivan 평결은 버그 바운티 프로그램이 법 자체를 위반하지 않고 해커에게 상품을 수여하는 데 얼마나 멀리 갈 수 있는지에 대한 의문을 제기했습니다.
게시물에서 Coinbase는 회사가 합법적으로 지불할 수 없도록 하는 범죄 행위를 저질렀다고 주장하는 일부 버그 포상금 참가자를 만났다고 밝혔습니다.
예를 들어, 참가자는 팀에 "306억 48백만 사용자 데이터가 완전히 디해싱"되었으며 새 장치에서 XNUMX시간의 대기 기간을 건너뛰기 위한 "우회"라는 여러 이메일을 팀에 제출했습니다. Coinbase에 따르면 이 사람이 그러한 정보를 가지고 있다면 "선의" 또는 "우연"으로 간주될 수 있는 범위를 넘어 고객 데이터에 액세스했음을 의미합니다. 이 경우 Coinbase는 현상금을 지불할 수 없습니다.
이 특별한 경우에 Coinbase는 참가자가 거짓 주장을 하고 있다고 믿는다고 말했습니다. 참가자는 주장을 확인할 수 있는 정보를 제공하지 않았으므로 팀은 포상금 요청을 무시했습니다. 그러나 주장하는 사람이 진실을 말했더라도 그들에게 보상금을 지급하는 것은 불법이었을 것입니다.
Coinbase는 또한 위협 또는 기타 갈취 시도가 버그 포상금 지급으로 이어지지 않는다고 강조했습니다.
“가장 중요한 것은 버그 바운티 제출에 위협이나 갈취 시도가 포함되어서는 안 된다는 것입니다. 합법적인 결과에 대해 포상금을 지불하는 데 항상 열려 있습니다. 몸값 요구는 완전히 다른 문제입니다.”
버그 바운티를 지불하는 관행은 때때로 논란의 여지가 있습니다. 비평가들은 그것이 악의적인 행동을 조장할 수 있다고 말하는 반면, 지지자들은 종종 취약성을 안전하게 발견할 수 있다고 말합니다. 19월 XNUMX일, 공격자가 Moola Market을 유출했습니다. 분산 금융 (DeFi) 9만 달러 상당의 암호화폐 앱. 하지만 개발자가 제안했을 때 공격자가 $500,000를 유지하도록 허용 버그 포상금으로 공격자는 나머지 8.5만 달러를 반환했습니다.
지난 265,000월 탈중앙화 거래소 카이버스왑(KyberSwap)에서도 유사한 공격이 발생했다. 이 경우 공격자는 $XNUMX를 훔쳤고 개발자는 15%를 유지하도록 제안 그들이 나머지를 반환한다면 자금의. 사건의 용의자 나중에 확인되었다, 그러나 자금은 반환되지 않았으며 해커는 여전히 대규모인 것으로 보입니다.
출처: https://cointelegraph.com/news/coinbase-clarifies-bug-bounty-policy-in-response-to-uber-extortion-verdict