30 नवंबर को एक ब्लॉग पोस्ट में, कॉइनबेस ने हाल ही में उबेर डेटा ब्रीच फैसले के जवाब में अपनी बग बाउंटी प्रोग्राम नीतियों को स्पष्ट करने की मांग की।
कंपनी ने कहा कि यह अभी भी सुरक्षा मुद्दों के "जिम्मेदार" प्रकटीकरण का स्वागत करती है, लेकिन इस प्रक्रिया का दुरुपयोग करने वाले उपयोगकर्ताओं को बग बाउंटी से सम्मानित नहीं किया जाएगा:
"इस सब में महत्वपूर्ण शब्द 'जिम्मेदार' है।" उबेर के हाल के फैसले के मद्देनजर, बग बाउंटी सबमिशन को जबरन वसूली के प्रयासों के बारे में उद्योग में बहुत चिंता है। कॉइनबेस में, […] हमने कानून के सही पक्ष में बने रहने के लिए अपने बग बाउंटी प्रोग्राम को कैसे संचालित किया जाए, इस पर बहुत विचार किया है।
कॉइनबेस जिस फैसले का जिक्र कर रहा था, वह 5 अक्टूबर को जारी किया गया था। वाशिंगटन पोस्ट की एक रिपोर्ट के अनुसार, उबर के पूर्व सुरक्षा प्रमुख जो सुलिवन को हमलावरों के साथ मिलीभगत करने का दोषी पाया गया था। सुलिवन ने मूल रूप से दावा किया था कि हमलावरों ने उल्लंघन को बग बाउंटी के रूप में प्रस्तुत किया था और कंपनी ने उन्हें बग बाउंटी इनाम के रूप में भुगतान किया था।
टेक कंपनियां अक्सर व्हाइट हैट हैकर्स को सुरक्षा कमजोरियों को खोजने और उनकी रिपोर्ट करने के लिए प्रोत्साहित करने के लिए बग बाउंटी का उपयोग करती हैं। लेकिन, सुलिवन के फैसले ने सवाल उठाया है कि बग बाउंटी प्रोग्राम हैकर्स को कानून का उल्लंघन किए बिना पुरस्कार देने में कितनी दूर तक जा सकता है।
अपने पोस्ट में, कॉइनबेस ने कहा कि उसे कुछ बग बाउंटी प्रतिभागियों का सामना करना पड़ा है जो दावा करते हैं कि उन्होंने आपराधिक कार्रवाइयां की हैं जो कंपनी को कानूनी रूप से भुगतान करने में सक्षम होने से रोकेंगी।
उदाहरण के लिए, एक प्रतिभागी ने यह कहते हुए टीम को कई ईमेल सबमिट किए कि उनके पास "306 मिलियन उपयोगकर्ता डेटा पूरी तरह से नष्ट हो गया है" और नए उपकरणों पर 48 घंटे की प्रतीक्षा अवधि को छोड़ने के लिए "बायपास" है। कॉइनबेस के अनुसार, यदि इस व्यक्ति के पास ऐसी जानकारी थी, तो इसका मतलब यह होगा कि उन्होंने ग्राहक डेटा को "सद्भावना" या "आकस्मिक" माना जा सकता है। ऐसी स्थिति में, कॉइनबेस बाउंटी का भुगतान नहीं कर पाएगा।
इस विशेष मामले में, कॉइनबेस ने कहा कि उनका मानना है कि प्रतिभागी झूठा दावा कर रहे हैं। प्रतिभागी ने ऐसी कोई जानकारी नहीं दी जो दावे को सत्यापित करने की अनुमति दे, इसलिए टीम ने इनाम के अनुरोध को नज़रअंदाज़ कर दिया। लेकिन अगर दावा करने वाला व्यक्ति सच बोल रहा होता, तो भी उन्हें इनाम देना गैरकानूनी होता।
कॉइनबेस ने इस बात पर भी जोर दिया कि धमकियों या अन्य जबरन वसूली के प्रयासों का परिणाम बग बाउंटी पेआउट नहीं होगा:
"सबसे महत्वपूर्ण - एक बग बाउंटी सबमिशन में कभी भी धमकी या जबरन वसूली का कोई प्रयास नहीं हो सकता है। हम हमेशा वैध निष्कर्षों के लिए इनाम देने के लिए तैयार हैं। फिरौती की मांग पूरी तरह से अलग मामला है।”
बग बाउंटी का भुगतान करने की प्रथा कभी-कभी विवादास्पद होती है। आलोचकों का कहना है कि यह दुर्भावनापूर्ण व्यवहार को प्रोत्साहित कर सकता है, जबकि समर्थकों का कहना है कि यह अक्सर कमजोरियों को सुरक्षित रूप से खोजने की अनुमति देता है। 19 अक्टूबर को एक हमलावर ने मुल्ला मार्केट को खाली कर दिया विकेन्द्रीकृत वित्त (DeFi) क्रिप्टोक्यूरेंसी के $ 9 मिलियन मूल्य का ऐप। लेकिन जब डेवलपर ने पेशकश की हमलावर को 500,000 डॉलर रखने दें बग बाउंटी के रूप में, हमलावर ने अन्य $8.5 मिलियन वापस कर दिए।
इसी तरह का हमला सितंबर में विकेंद्रीकृत एक्सचेंज KyberSwap पर हुआ था। इस मामले में, हमलावरों ने $265,000 और डेवलपर्स को चुरा लिया उन्हें 15% रखने की पेशकश की धन की अगर वे बाकी वापस कर देंगे। मामले में आरोपी बाद में पहचाने गए, लेकिन धनराशि वापस नहीं की गई है, और हैकर्स अभी भी बड़े पैमाने पर प्रतीत होते हैं।
स्रोत: https://cointelegraph.com/news/coinbase-clarify-bug-bounty-policy-in-response-to-uber-extortion-verdict