ໃນການຕອບ blog ໃນວັນທີ 30 ພະຈິກ, Coinbase ພະຍາຍາມຊີ້ແຈງນະໂຍບາຍໂຄງການ bug bounty ຂອງຕົນໃນການຕອບສະຫນອງຕໍ່ຄໍາຕັດສິນຂອງການລະເມີດຂໍ້ມູນ Uber ທີ່ຜ່ານມາ.
ບໍລິສັດກ່າວວ່າມັນຍັງຍິນດີຕ້ອນຮັບການເປີດເຜີຍ "ຄວາມຮັບຜິດຊອບ" ກ່ຽວກັບບັນຫາຄວາມປອດໄພ, ແຕ່ຜູ້ໃຊ້ທີ່ລ່ວງລະເມີດຂະບວນການນີ້ຈະບໍ່ໄດ້ຮັບລາງວັນ bug:
"ຄໍາສໍາຄັນໃນທັງຫມົດນີ້ແມ່ນ 'ຄວາມຮັບຜິດຊອບ.' ຫຼັງຈາກຄໍາຕັດສິນຂອງ Uber ທີ່ຜ່ານມາ, ມີຄວາມກັງວົນຫຼາຍໃນອຸດສາຫະກໍາກ່ຽວກັບການຍື່ນສະເຫນີ bug bounty ກາຍເປັນຄວາມພະຍາຍາມ extortion. ທີ່ Coinbase, […] ພວກເຮົາໄດ້ຄິດຫຼາຍກ່ຽວກັບວິທີທີ່ພວກເຮົາປະຕິບັດໂຄງການ bug bounty ຂອງພວກເຮົາເພື່ອຢູ່ເບື້ອງຂວາຂອງກົດຫມາຍ.”
ຄໍາຕັດສິນຂອງ Coinbase ໄດ້ຖືກກ່າວເຖິງໃນວັນທີ 5 ຕຸລາທີ່ຜ່ານມາ. Joe Sullivan, ອະດີດຫົວຫນ້າຮັກສາຄວາມປອດໄພ Uber, ໄດ້ຖືກພົບເຫັນວ່າມີຄວາມຜິດໃນການສົມຮູ້ຮ່ວມຄິດກັບຜູ້ໂຈມຕີເພື່ອປົກປິດຫຼັກຖານຂອງການລະເມີດຂໍ້ມູນ, ອີງຕາມການລາຍງານຂອງ Washington Post. ໃນເບື້ອງຕົ້ນ Sullivan ໄດ້ອ້າງວ່າຜູ້ໂຈມຕີໄດ້ສົ່ງການລະເມີດເປັນເງິນລາງວັນ bug ແລະບໍລິສັດໄດ້ຈ່າຍເງິນໃຫ້ພວກເຂົາເປັນລາງວັນ bug bounty.
ບໍລິສັດເຕັກໂນໂລຢີມັກຈະໃຊ້ bug bounties ເພື່ອຊຸກຍູ້ໃຫ້ແຮກເກີຫມວກຂາວຊອກຫາຈຸດອ່ອນດ້ານຄວາມປອດໄພແລະລາຍງານໃຫ້ເຂົາເຈົ້າ. ແຕ່, ຄໍາຕັດສິນຂອງ Sullivan ໄດ້ຕັ້ງຄໍາຖາມວ່າໂຄງການ bug bounty ສາມາດເຂົ້າໄປໃນການມອບລາງວັນໃຫ້ພວກແຮກເກີໂດຍບໍ່ໄດ້ເຮັດຜິດຕໍ່ກົດຫມາຍ.
ໃນການປະກາດຂອງຕົນ, Coinbase ໄດ້ກ່າວວ່າມັນໄດ້ພົບກັບຜູ້ເຂົ້າຮ່ວມ bug bounty ບາງຄົນທີ່ອ້າງວ່າໄດ້ກະທໍາຜິດທາງອາຍາທີ່ຈະປ້ອງກັນບໍ່ໃຫ້ບໍລິສັດສາມາດຊໍາລະໄດ້ຕາມກົດຫມາຍ.
ຕົວຢ່າງ, ຜູ້ເຂົ້າຮ່ວມໄດ້ສົ່ງອີເມລ໌ຫຼາຍສະບັບໄປຫາທີມງານໂດຍກ່າວວ່າພວກເຂົາມີ "ຂໍ້ມູນຜູ້ໃຊ້ 306 ລ້ານຄົນຖືກທໍາລາຍຢ່າງສົມບູນ" ແລະ "ຂ້າມ" ເພື່ອຂ້າມໄລຍະເວລາລໍຖ້າ 48 ຊົ່ວໂມງໃນອຸປະກອນໃຫມ່. ອີງຕາມການ Coinbase, ຖ້າບຸກຄົນນີ້ມີຂໍ້ມູນດັ່ງກ່າວ, ມັນຫມາຍຄວາມວ່າພວກເຂົາເຂົ້າເຖິງຂໍ້ມູນຂອງລູກຄ້າເກີນກວ່າສິ່ງທີ່ສາມາດຖືວ່າເປັນ "ຄວາມເຊື່ອທີ່ດີ" ຫຼື "ອຸບັດຕິເຫດ." ໃນກໍລະນີດັ່ງກ່າວ, Coinbase ຈະບໍ່ສາມາດຈ່າຍເງິນໄດ້.
ໃນກໍລະນີນີ້, Coinbase ກ່າວວ່າພວກເຂົາເຊື່ອວ່າຜູ້ເຂົ້າຮ່ວມກໍາລັງເຮັດການຮ້ອງຂໍທີ່ບໍ່ຖືກຕ້ອງ. ຜູ້ເຂົ້າຮ່ວມບໍ່ໄດ້ໃຫ້ຂໍ້ມູນໃດໆທີ່ຈະອະນຸຍາດໃຫ້ການຮ້ອງຂໍໄດ້ຮັບການກວດສອບ, ດັ່ງນັ້ນທີມງານຈຶ່ງບໍ່ສົນໃຈຄໍາຮ້ອງຂໍເງິນລາງວັນ. ແຕ່ເຖິງແມ່ນວ່າຜູ້ທີ່ອ້າງເອົາຈິງເອົາຈິງເອົາຈັງ, ມັນຈະເປັນການຜິດກົດຫມາຍທີ່ຈະຈ່າຍເງິນໃຫ້ກັບພວກເຂົາ.
Coinbase ຍັງໄດ້ເນັ້ນຫນັກວ່າການຂົ່ມຂູ່ຫຼືຄວາມພະຍາຍາມ extortion ອື່ນໆຈະບໍ່ສົ່ງຜົນໃຫ້ bug bounty payout:
“ສິ່ງສຳຄັນທີ່ສຸດ - ການຍື່ນສະ ເໜີຄ່າຕອບແທນ bug ບໍ່ເຄີຍມີໄພຂົ່ມຂູ່ຫຼືຄວາມພະຍາຍາມທີ່ຈະ extortion ໃດໆ. ພວກເຮົາເປີດໃຈສະເໝີທີ່ຈະຈ່າຍເງິນໃຫ້ກັບຜົນການຄົ້ນພົບທີ່ຖືກຕ້ອງ. ການຮຽກຮ້ອງຄ່າໄຖ່ແມ່ນເປັນເລື່ອງທີ່ແຕກຕ່າງທັງໝົດ.”
ການປະຕິບັດຂອງການຈ່າຍຄ່າບໍລິການ bug ແມ່ນບາງຄັ້ງການໂຕ້ຖຽງ. ນັກວິຈານກ່າວວ່າມັນສາມາດຊຸກຍູ້ໃຫ້ມີພຶດຕິກໍາທີ່ເປັນອັນຕະລາຍ, ໃນຂະນະທີ່ຜູ້ສະຫນັບສະຫນູນກ່າວວ່າມັນມັກຈະອະນຸຍາດໃຫ້ຄົ້ນພົບຊ່ອງໂຫວ່ຢ່າງປອດໄພ. ວັນທີ 19 ຕຸລານີ້, ຜູ້ໂຈມຕີຄົນໜຶ່ງໄດ້ບຸກໂຈມຕີຕະຫຼາດໂມລາ ການເງິນແບບແບ່ງຂັ້ນ (DeFi) app ຂອງ $9 ລ້ານມູນຄ່າຂອງ cryptocurrency. ແຕ່ໃນເວລາທີ່ນັກພັດທະນາໄດ້ສະເຫນີໃຫ້ ໃຫ້ຜູ້ໂຈມຕີເກັບເງິນ 500,000 ໂດລາ ເປັນຄ່າຕອບແທນຂອງແມງໄມ້, ຜູ້ໂຈມຕີໄດ້ສົ່ງຄືນເງິນອີກ 8.5 ລ້ານໂດລາ.
ການໂຈມຕີທີ່ຄ້າຍຄືກັນໄດ້ເກີດຂຶ້ນຢູ່ໃນການແລກປ່ຽນການແບ່ງແຍກ, KyberSwap, ໃນເດືອນກັນຍາ. ໃນກໍລະນີນີ້, ຜູ້ໂຈມຕີໄດ້ລັກ $ 265,000, ແລະນັກພັດທະນາ ສະເໜີໃຫ້ເຂົາເຈົ້າເກັບ 15% ຂອງກອງທຶນຖ້າຫາກວ່າພວກເຂົາເຈົ້າຈະສົ່ງຄືນສ່ວນທີ່ເຫຼືອ. ຜູ້ຕ້ອງສົງໄສໃນຄະດີ ຕໍ່ມາໄດ້ຖືກລະບຸ, ແຕ່ເງິນຍັງບໍ່ໄດ້ຖືກສົ່ງຄືນ, ແລະແຮກເກີເບິ່ງຄືວ່າຍັງຢູ່ໃນຂະຫນາດໃຫຍ່.
ທີ່ມາ: https://cointelegraph.com/news/coinbase-clarifies-bug-bounty-policy-in-response-to-uber-extortion-verdict