Coinbase განმარტავს შეცდომების ბონუტის პოლიტიკას Uber-ის გამოძალვის განაჩენის საპასუხოდ

30 ნოემბერს ბლოგ-პოსტში, Coinbase ცდილობდა გაერკვია შეცდომების სიკეთის პროგრამის პოლიტიკა Uber-ის მონაცემების დარღვევის ბოლო განაჩენის საპასუხოდ.

კომპანიამ განაცხადა, რომ ის კვლავ მიესალმება უსაფრთხოების საკითხების "პასუხისმგებლო" გამჟღავნებას, მაგრამ მომხმარებლები, რომლებიც ბოროტად იყენებენ ამ პროცესს, არ მიიღებენ შეცდომების ბონუსებს:

„ამ ყველაფერში მთავარი სიტყვა არის „პასუხისმგებლობა“. Uber-ის ბოლო განაჩენის კვალდაკვალ, ინდუსტრიაში დიდი შეშფოთებაა იმის გამო, რომ შეცდომების სიკეთის წარდგენა ხდება გამოძალვის მცდელობა. Coinbase-ში, […] ჩვენ ბევრი ვიფიქრეთ იმაზე, თუ როგორ ვიმუშავებთ ჩვენი bug bounty პროგრამისთვის, რათა დავრჩეთ კანონის მარჯვენა მხარეს.

*Coinbase-ის შეცდომების სიკეთის მოხსენების ოფიციალური გვერდი HackerOne-ში*

განაჩენი, რომელსაც Coinbase გულისხმობდა, გამოიცა 5 ოქტომბერს. ჯო სალივანი, Uber-ის უსაფრთხოების ყოფილი უფროსი, დამნაშავედ ცნეს თავდამსხმელებთან შეთანხმებაში მონაცემთა დარღვევის მტკიცებულებების დასაფარად, ნათქვამია Washington Post-ის მოხსენებაში. სალივანი თავდაპირველად აცხადებდა, რომ თავდამსხმელებმა წარადგინეს დარღვევა, როგორც ხარვეზის ბონუტი და რომ კომპანიამ მათ გადაიხადა, როგორც ბონუსის ჯილდო.

ტექნიკური კომპანიები ხშირად იყენებენ შეცდომების ბონუსებს, რათა წაახალისონ თეთრი ქუდის ჰაკერები, იპოვონ უსაფრთხოების ხარვეზები და შეატყობინონ მათ. მაგრამ, სალივანის ვერდიქტმა წამოჭრა კითხვა, თუ რამდენად შორს შეიძლება წავიდეს შეცდომების პრემიის პროგრამა ჰაკერებისთვის პრიზების მინიჭებისას, თავად კანონთან შეურაცხყოფის გარეშე.

თავის პოსტში, Coinbase-მა განაცხადა, რომ შეხვდა შეცდომების ბონუტის მონაწილეებს, რომლებიც აცხადებენ, რომ ჩაიდინეს დანაშაულებრივი ქმედებები, რაც ხელს შეუშლის კომპანიას კანონიერად გადახდის საშუალებას.

მაგალითად, მონაწილემ გუნდს გაუგზავნა რამდენიმე ელ.წერილი, რომელშიც ნათქვამია, რომ მათ ჰქონდათ „306 მილიონი მომხმარებლის მონაცემები სრულად გაშლილი“ და „შემოვლითი“ ახალ მოწყობილობებზე 48-საათიანი ლოდინის პერიოდის გამოტოვებისთვის. Coinbase-ის თანახმად, თუ ამ ადამიანს ჰქონდა ასეთი ინფორმაცია, ეს ნიშნავს, რომ მათ მიაღწიეს კლიენტის მონაცემებს იმაზე მეტად, რაც შეიძლება ჩაითვალოს „კეთილსინდისიერად“ ან „შემთხვევით“. ასეთ შემთხვევაში, Coinbase ვერ გადაიხდის ბონუსს.

ამ კონკრეტულ შემთხვევაში, Coinbase-მა თქვა, რომ მათ სჯეროდათ, რომ მონაწილე ცრუ პრეტენზიას აკეთებდა. მონაწილემ არ წარმოადგინა ინფორმაცია, რომელიც საშუალებას მისცემს პრეტენზიას გადამოწმებულიყო, ამიტომ გუნდმა უგულებელყო ბონუსის მოთხოვნა. მაგრამ მაშინაც კი, თუ პრეტენზიის მომტანი სიმართლეს ამბობდა, მათთვის ჯილდოს გადახდა უკანონო იქნებოდა.

Coinbase-მა ასევე ხაზგასმით აღნიშნა, რომ მუქარა ან გამოძალვის სხვა მცდელობა არ გამოიწვევს შეცდომების ბონუტის გადახდას:

„ყველაზე მნიშვნელოვანი - ხარვეზის პრემიის წარდგენა არასოდეს არ შეიძლება შეიცავდეს მუქარას ან გამოძალვის მცდელობას. ჩვენ ყოველთვის მზად ვართ გადაიხადოთ ჯილდოები კანონიერი აღმოჩენებისთვის. გამოსასყიდის მოთხოვნა სრულიად განსხვავებული საკითხია“.

შეცდომების ბონუსების გადახდის პრაქტიკა ზოგჯერ საკამათოა. კრიტიკოსები ამბობენ, რომ მას შეუძლია წაახალისოს მავნე ქცევა, ხოლო მხარდამჭერები ამბობენ, რომ ის ხშირად საშუალებას აძლევს დაუცველობას უსაფრთხოდ აღმოაჩინოს. 19 ოქტომბერს თავდამსხმელმა მოლას ბაზარი დაცურა დეცენტრალიზებული ფინანსები (DeFi) 9 მილიონი დოლარის ღირებულების კრიპტოვალუტის აპლიკაცია. მაგრამ როდესაც დეველოპერმა შესთავაზა დაე, თავდამსხმელმა შეინახოს $500,000 როგორც ხარვეზის ჯილდო, თავდამსხმელმა დააბრუნა დანარჩენი 8.5 მილიონი დოლარი.

მსგავსი თავდასხმა მოხდა დეცენტრალიზებულ ბირჟაზე, KyberSwap-ზე, სექტემბერში. ამ შემთხვევაში, თავდამსხმელებმა მოიპარეს $265,000, ხოლო დეველოპერებმა შესთავაზეს მათ დატოვონ 15% თანხებს თუ დააბრუნებდნენ დანარჩენს. საქმეში ეჭვმიტანილები მოგვიანებით დაადგინეს, მაგრამ თანხები არ დაბრუნებულა და ჰაკერები, როგორც ჩანს, კვლავ თავისუფლებაში არიან.