En una publicación de blog del 30 de noviembre, Coinbase buscó aclarar sus políticas del programa de recompensas por errores en respuesta al reciente veredicto de violación de datos de Uber.
La compañía declaró que aún acepta la divulgación “responsable” de problemas de seguridad, pero los usuarios que abusen de este proceso no recibirán recompensas por errores:
“La palabra clave en todo esto es ‘responsable’. A raíz del reciente veredicto de Uber, existe una gran preocupación en la industria acerca de que las presentaciones de recompensas por errores se conviertan en intentos de extorsión. en Coinbase, […] Hemos pensado mucho en cómo operamos nuestro programa de recompensas por errores para permanecer en el lado correcto de la ley”.
El veredicto al que se refería Coinbase se emitió el 5 de octubre. Joe Sullivan, exjefe de seguridad de Uber, fue declarado culpable de colusión con atacantes para encubrir evidencia de una violación de datos, según un informe del Washington Post. Sullivan había afirmado originalmente que los atacantes habían presentado la infracción como una recompensa por errores y que la empresa les había pagado como recompensa por una recompensa por errores.
Las empresas de tecnología a menudo usan recompensas por errores para alentar a los piratas informáticos de sombrero blanco a encontrar vulnerabilidades de seguridad y reportarlas. Pero el veredicto de Sullivan ha planteado la pregunta de hasta dónde puede llegar un programa de recompensas por errores para otorgar premios a los piratas informáticos sin infringir la ley misma.
En su publicación, Coinbase declaró que se ha encontrado con algunos participantes de recompensas por errores que afirman haber cometido acciones delictivas que evitarían que la empresa pudiera realizar un pago legalmente.
Por ejemplo, un participante envió varios correos electrónicos al equipo diciendo que tenían “306 millones de datos de usuarios completamente eliminados” y un “bypass” para omitir el período de espera de 48 horas en los nuevos dispositivos. Según Coinbase, si esta persona tuviera dicha información, significaría que accedió a los datos del cliente más allá de lo que podría considerarse “de buena fe” o “accidental”. En tal caso, Coinbase no podría pagar la recompensa.
En este caso particular, Coinbase dijo que creía que el participante estaba haciendo un reclamo falso. El participante no proporcionó ninguna información que permitiera verificar el reclamo, por lo que el equipo ignoró la solicitud de recompensa. Pero incluso si la persona que hizo el reclamo hubiera dicho la verdad, habría sido ilegal pagarle la recompensa.
Coinbase también enfatizó que las amenazas u otros intentos de extorsión no resultarán en el pago de una recompensa por errores:
“Lo más importante de todo: un envío de recompensas por errores nunca puede contener amenazas o intentos de extorsión. Siempre estamos abiertos a pagar recompensas por hallazgos legítimos. Las demandas de rescate son un asunto completamente diferente.
La práctica de pagar recompensas por errores a veces es controvertida. Los críticos dicen que puede alentar el comportamiento malicioso, mientras que los partidarios dicen que a menudo permite descubrir vulnerabilidades de manera segura. El 19 de octubre, un atacante drenó la aplicación Moola Market DeFi de $ 9 millones en criptomonedas. Pero cuando el desarrollador ofreció dejar que el atacante se quedara con $ 500K como recompensa por errores, el atacante devolvió los otros $ 8.5 millones.
Un ataque similar ocurrió en el intercambio descentralizado, KyberSwap, en septiembre. En este caso, los atacantes robaron 265.000 dólares y los desarrolladores les ofrecieron quedarse con el 15 % de los fondos si devolvían el resto. Los sospechosos en el caso fueron identificados más tarde, pero los fondos no han sido devueltos y los piratas parecen estar todavía en libertad.
