Dalam catatan blog pada 30 November, Coinbase berusaha untuk menjelaskan dasar program hadiah pepijatnya sebagai tindak balas kepada keputusan pelanggaran data Uber baru-baru ini.
Syarikat itu menyatakan bahawa ia masih mengalu-alukan pendedahan "bertanggungjawab" tentang isu keselamatan, tetapi pengguna yang menyalahgunakan proses ini tidak akan diberikan ganjaran pepijat:
“Kata kunci dalam semua ini ialah 'bertanggungjawab.' Berikutan keputusan Uber baru-baru ini, terdapat banyak kebimbangan dalam industri tentang penyerahan hadiah pepijat menjadi percubaan pemerasan. Di Coinbase, […] kami telah banyak memikirkan cara kami mengendalikan program hadiah pepijat kami untuk kekal di sisi kanan undang-undang.”
Keputusan yang dirujuk Coinbase dikeluarkan pada 5 Oktober. Joe Sullivan, bekas ketua keselamatan Uber, didapati bersalah bersubahat dengan penyerang untuk menutup bukti pelanggaran data, menurut laporan oleh Washington Post. Sullivan pada asalnya mendakwa bahawa penyerang telah menyerahkan pelanggaran itu sebagai hadiah pepijat dan syarikat itu telah membayar mereka sebagai ganjaran hadiah pepijat.
Syarikat teknologi sering menggunakan hadiah pepijat untuk menggalakkan penggodam topi putih mencari kelemahan keselamatan dan melaporkannya. Tetapi, keputusan Sullivan telah menimbulkan persoalan sejauh mana program hadiah pepijat boleh memberikan hadiah kepada penggodam tanpa melanggar undang-undang itu sendiri.
Dalam siarannya, Coinbase menyatakan bahawa ia telah menemui beberapa peserta hadiah pepijat yang mendakwa telah melakukan tindakan jenayah yang akan menghalang syarikat daripada dapat membuat pembayaran secara sah.
Sebagai contoh, seorang peserta menyerahkan berbilang e-mel kepada pasukan yang mengatakan bahawa mereka mempunyai "data 306 juta pengguna dinyahhabis sepenuhnya" dan "pintasan" untuk melangkau tempoh menunggu 48 jam pada peranti baharu. Menurut Coinbase, jika orang ini mempunyai maklumat sedemikian, ini bermakna mereka mengakses data pelanggan melebihi apa yang boleh dianggap sebagai "niat baik" atau "tidak sengaja." Dalam kes sedemikian, Coinbase tidak akan dapat membayar hadiah.
Dalam kes khusus ini, Coinbase berkata mereka percaya bahawa peserta itu membuat tuntutan palsu. Peserta tidak memberikan sebarang maklumat yang membolehkan tuntutan disahkan, jadi pasukan mengabaikan permintaan untuk hadiah. Tetapi walaupun orang yang membuat tuntutan itu bercakap benar, adalah haram untuk membayar ganjaran kepada mereka.
Coinbase juga menekankan bahawa ancaman atau percubaan peras ugut lain tidak akan menghasilkan pembayaran hadiah pepijat:
“Paling penting sekali — penyerahan hadiah pepijat tidak boleh mengandungi ancaman atau sebarang percubaan untuk memeras ugut. Kami sentiasa terbuka untuk membayar ganjaran untuk penemuan yang sah. Tuntutan wang tebusan adalah perkara yang sama sekali berbeza.”
Amalan membayar habuan pepijat kadangkala menjadi kontroversi. Pengkritik mengatakan bahawa ia boleh menggalakkan tingkah laku berniat jahat, manakala penyokong mengatakan ia sering membenarkan kelemahan ditemui dengan selamat. Pada 19 Okt., seorang penyerang mengosongkan Pasar Moola kewangan terdesentralisasi (DeFi) apl mata wang kripto bernilai $9 juta. Tetapi apabila pemaju menawarkan kepada biarkan penyerang menyimpan $500,000 sebagai hadiah pepijat, penyerang memulangkan $8.5 juta yang lain.
Serangan serupa berlaku pada bursa terdesentralisasi, KyberSwap, pada bulan September. Dalam kes ini, penyerang mencuri $265,000, dan pemaju ditawarkan untuk membiarkan mereka menyimpan 15% daripada dana jika mereka akan memulangkan selebihnya. Suspek dalam kes itu kemudiannya dikenal pasti, tetapi dana belum dikembalikan, dan penggodam nampaknya masih bebas.
Sumber: https://cointelegraph.com/news/coinbase-clarifies-bug-bounty-policy-in-response-to-uber-extortion-verdict