เทคโนโลยี

Coinbase ชี้แจงนโยบายรางวัลบั๊กเพื่อตอบสนองต่อคำตัดสินของ Uber

12/01/2022
ข่าว Bitcoin Ethereum

ในบล็อกโพสต์เมื่อวันที่ 30 พฤศจิกายน Coinbase พยายามชี้แจงนโยบายโปรแกรมรางวัลบั๊กเพื่อตอบสนองต่อคำตัดสินการละเมิดข้อมูลของ Uber ล่าสุด

บริษัทระบุว่ายังคงยินดีต้อนรับการเปิดเผยปัญหาด้านความปลอดภัยอย่าง “มีความรับผิดชอบ” แต่ผู้ใช้ที่ใช้กระบวนการนี้ในทางที่ผิดจะไม่ได้รับรางวัลบั๊ก:

“คำสำคัญในทั้งหมดนี้ก็คือ 'ความรับผิดชอบ' หลังจากคำตัดสินของ Uber เมื่อเร็ว ๆ นี้ มีความกังวลมากมายในอุตสาหกรรมเกี่ยวกับการส่งค่าหัวบั๊กกลายเป็นความพยายามในการขู่กรรโชก ที่ Coinbase […] เราได้ใช้ความคิดอย่างมากเกี่ยวกับวิธีที่เราดำเนินการโปรแกรมรางวัลบั๊กของเราเพื่อให้อยู่ในด้านขวาของกฎหมาย”

หน้าการรายงานค่าหัวบั๊กอย่างเป็นทางการของ Coinbase ที่ HackerOne

คำตัดสินที่ Coinbase อ้างถึงนั้นออกเมื่อวันที่ 5 ตุลาคม Joe Sullivan อดีตหัวหน้าฝ่ายรักษาความปลอดภัยของ Uber ถูกตัดสินว่ามีความผิดในการสมรู้ร่วมคิดกับผู้โจมตีเพื่อปกปิดหลักฐานการละเมิดข้อมูล ตามรายงานของ Washington Post เดิมทีซัลลิแวนอ้างว่าผู้โจมตีได้ส่งการละเมิดเป็นรางวัลบั๊กและบริษัทได้จ่ายให้พวกเขาเป็นรางวัลบั๊ก

บริษัทด้านเทคโนโลยีมักจะใช้ค่าบั๊กเพื่อกระตุ้นให้แฮ็กเกอร์หมวกขาวค้นหาช่องโหว่ด้านความปลอดภัยและรายงาน แต่คำตัดสินของ Sullivan ได้ทำให้เกิดคำถามว่าโปรแกรม Bug Bounty สามารถให้รางวัลแก่แฮ็กเกอร์ได้ไกลแค่ไหนโดยไม่ต้องทำผิดกฎหมาย

ในโพสต์ Coinbase ระบุว่าพบผู้เข้าร่วมรางวัลบั๊กบางคนที่อ้างว่าได้กระทำความผิดทางอาญาซึ่งจะทำให้บริษัทไม่สามารถจ่ายเงินได้อย่างถูกกฎหมาย

ตัวอย่างเช่น ผู้เข้าร่วมส่งอีเมลหลายฉบับถึงทีมโดยแจ้งว่าพวกเขาได้ "ล้างข้อมูลผู้ใช้ 306 ล้านรายโดยสมบูรณ์" และ "บายพาส" เพื่อข้ามช่วงเวลารอ 48 ชั่วโมงบนอุปกรณ์ใหม่ ตามข้อมูลของ Coinbase หากบุคคลนี้มีข้อมูลดังกล่าว ก็หมายความว่าพวกเขาเข้าถึงข้อมูลลูกค้าเกินกว่าที่จะถือว่า “โดยสุจริต” หรือ “โดยบังเอิญ” ในกรณีเช่นนี้ Coinbase จะไม่สามารถจ่ายค่าหัวได้

ในกรณีนี้ Coinbase กล่าวว่าพวกเขาเชื่อว่าผู้เข้าร่วมทำการอ้างสิทธิ์ที่เป็นเท็จ ผู้เข้าร่วมไม่ได้ให้ข้อมูลใด ๆ ที่จะอนุญาตให้มีการยืนยันการอ้างสิทธิ์ ดังนั้นทีมจึงเพิกเฉยต่อคำขอเงินรางวัล แต่ถึงแม้ผู้อ้างสิทธิ์จะพูดความจริง การจ่ายรางวัลให้พวกเขาก็ถือว่าผิดกฎหมาย

Coinbase ยังเน้นย้ำว่าการคุกคามหรือความพยายามขู่กรรโชกอื่นๆ จะไม่ส่งผลให้เกิดการจ่ายเงินค่าบั๊ก:

“ที่สำคัญที่สุด การส่งรางวัลบั๊กต้องไม่มีภัยคุกคามหรือความพยายามในการขู่กรรโชกใดๆ เราพร้อมเสมอที่จะจ่ายเงินค่าหัวสำหรับการค้นพบที่ถูกต้อง ความต้องการค่าไถ่เป็นเรื่องที่แตกต่างไปจากเดิมอย่างสิ้นเชิง”

การปฏิบัติในการจ่ายค่าหัวข้อผิดพลาดบางครั้งก็ขัดแย้งกัน นักวิจารณ์กล่าวว่าสามารถกระตุ้นให้เกิดพฤติกรรมที่เป็นอันตรายได้ ในขณะที่ผู้สนับสนุนกล่าวว่ามักจะช่วยให้ค้นพบช่องโหว่ได้อย่างปลอดภัย เมื่อวันที่ 19 ต.ค. ผู้โจมตีได้ระบายตลาดมูล่า การเงินแบบกระจายอำนาจ (DeFi) แอพ cryptocurrency มูลค่า 9 ล้านดอลลาร์ แต่เมื่อผู้พัฒนาเสนอให้ ปล่อยให้ผู้โจมตีเก็บเงิน 500,000 ดอลลาร์ เพื่อเป็นค่าบั๊ก ผู้โจมตีจึงคืนเงินอีก 8.5 ล้านดอลลาร์

การโจมตีในลักษณะเดียวกันนี้เกิดขึ้นกับการแลกเปลี่ยนแบบกระจายอำนาจอย่าง KyberSwap ในเดือนกันยายน ในกรณีนี้ ผู้โจมตีขโมยเงิน 265,000 ดอลลาร์และนักพัฒนา เสนอให้เก็บ 15% ของกองทุนหากพวกเขาจะคืนส่วนที่เหลือ ผู้ต้องสงสัยในคดี ถูกระบุในภายหลังแต่เงินยังไม่ถูกส่งคืน และดูเหมือนว่าแฮ็กเกอร์ยังคงมีจำนวนมาก