Նոյեմբերի 30-ին բլոգային գրառման մեջ Coinbase-ը փորձում էր պարզաբանել իր սխալների պարգևավճարի ծրագրի քաղաքականությունը՝ ի պատասխան Uber-ի տվյալների խախտման վերջին դատավճռի:
Ընկերությունը հայտարարել է, որ դեռ ողջունում է անվտանգության խնդիրների «պատասխանատու» բացահայտումը, սակայն այն օգտվողները, ովքեր չարաշահում են այս գործընթացը, վրիպակների պարգևներ չեն ստանա.
«Այս ամենի հիմնական բառը «պատասխանատու» է: Uber-ի վերջին դատավճռից հետո արդյունաբերության մեջ մեծ անհանգստություն կա, որ սխալների պարգևների ներկայացումները դառնում են շորթման փորձեր: Coinbase-ում […] մենք շատ ենք մտածել այն մասին, թե ինչպես ենք գործում մեր bug bounty ծրագիրը՝ մնալու օրենքի աջ կողմում»:
Վճիռը, որին ակնարկում էր Coinbase-ը, հրապարակվել է հոկտեմբերի 5-ին: Ջո Սալիվանը՝ Uber-ի անվտանգության նախկին ղեկավարը, մեղավոր է ճանաչվել հարձակվողների հետ համաձայնության մեջ՝ տվյալների խախտման ապացույցները թաքցնելու համար, ասվում է Washington Post-ի զեկույցում: Սալիվանն ի սկզբանե պնդում էր, որ հարձակվողները խախտումը ներկայացրել են որպես վրիպակների պարգև, և որ ընկերությունը վճարել է նրանց որպես վրիպակի պարգև:
Տեխնոլոգիական ընկերությունները հաճախ օգտագործում են վրիպակների պարգևներ՝ սպիտակ գլխարկ հաքերներին խրախուսելու համար գտնել անվտանգության խոցելիությունը և հաղորդել դրանց մասին: Սակայն Սալիվանի դատավճիռը բարձրացրել է այն հարցը, թե որքան հեռու կարող է գնալ bug bounty ծրագիրը հաքերներին մրցանակներ շնորհելիս՝ առանց օրենքին խախտելու:
Իր գրառման մեջ Coinbase-ը նշել է, որ հանդիպել է սխալների պարգևների որոշ մասնակիցների, ովքեր պնդում են, որ կատարել են հանցավոր գործողություններ, որոնք թույլ չեն տալիս ընկերությանը օրինական կերպով վճարումներ կատարել:
Օրինակ՝ մի մասնակից թիմին մի քանի նամակներ է ներկայացրել՝ ասելով, որ իրենք «306 միլիոն օգտատերերի տվյալները ամբողջությամբ ջնջված են» և «շրջանցում»՝ նոր սարքերում 48-ժամյա սպասման ժամկետը բաց թողնելու համար: Ըստ Coinbase-ի, եթե այս անձը նման տեղեկություն ունենար, դա կնշանակեր, որ նա մուտք է գործել հաճախորդների տվյալներ այն սահմաններից, որոնք կարելի է համարել «բարեխիղճ» կամ «պատահական»: Նման դեպքում Coinbase-ը չի կարողանա վճարել պարգևը:
Կոնկրետ այս դեպքում, Coinbase-ն ասաց, որ իրենք կարծում էին, որ մասնակիցը կեղծ պնդում էր անում: Մասնակիցը չի տրամադրել որևէ տեղեկություն, որը թույլ կտա ստուգել հայցը, ուստի թիմն անտեսել է պարգևատրման խնդրանքը: Բայց եթե անգամ հայց ներկայացնողն ասեր ճշմարտությունը, ապա անօրինական կլիներ նրան վճարել պարգևը:
Coinbase-ը նաև ընդգծել է, որ սպառնալիքները կամ շորթման այլ փորձերը չեն հանգեցնի սխալների պարգևավճարի.
«Ամենակարևորը՝ վրիպակների պարգևի ներկայացումը երբեք չի կարող պարունակել սպառնալիքներ կամ շորթման փորձեր: Մենք միշտ բաց ենք օրինական գտածոների համար պարգևներ վճարելու համար: Փրկագնի պահանջները բոլորովին այլ հարց են»։
Սխալների պարգևավճարներ վճարելու պրակտիկան երբեմն հակասական է: Քննադատներն ասում են, որ այն կարող է խրախուսել չարամիտ վարքը, մինչդեռ կողմնակիցներն ասում են, որ այն հաճախ թույլ է տալիս անվտանգ հայտնաբերել խոցելիությունը: Հոկտեմբերի 19-ին հարձակվողը ջրահեռացրել է Moola Market-ը ապակենտրոնացված ֆինանսավորում (DeFi) 9 միլիոն դոլար արժողությամբ կրիպտոարժույթի հավելված: Բայց երբ մշակողը առաջարկեց թող հարձակվողը պահի 500,000 դոլար որպես վրիպակի պարգև՝ հարձակվողը վերադարձրել է մնացած 8.5 միլիոն դոլարը:
Նման հարձակում տեղի ունեցավ սեպտեմբերին ապակենտրոնացված բորսայում՝ KyberSwap-ում: Այս դեպքում հարձակվողները գողացել են $265,000, իսկ մշակողները առաջարկել է նրանց թողնել 15% միջոցներից, եթե վերադարձնեին մնացածը։ Գործով կասկածյալներ ավելի ուշ բացահայտվել են, սակայն միջոցները չեն վերադարձվել, և հաքերները կարծես դեռ ազատության մեջ են։
Աղբյուր՝ https://cointelegraph.com/news/coinbase-clarifies-bug-bounty-policy-in-response-to-uber-extortion-verdict