Coinbase déjoue une tentative d'extorsion et renforce son programme de primes aux bugs

Coinbase (PIÈCE DE MONNAIE), la plus grande bourse de Cryptomonnaie aux États-Unis en termes de volume de transactions et la première bourse de Crypto à entrer en bourse sur un marché boursier américain, sensibilise le public à ses programme de primes aux bugsaprès une récente tentative d'extorsion.

Un acteur malveillant a envoyé un e-mail à Coinbase et CoinDesk plus tôt ce mois-ci, affirmant avoir « déchiffré » et « déhaché » les données sensibles de 306 millions de comptes utilisateurs Coinbase (Coinbase affirme qu'il est mathématiquement impossible de « déchiffrer » ou « déhaché » des données). L'individu a menacé de rendre l'affaire publique si Coinbase ne déboursait T 450 000 $.

L'équipe de sécurité de Coinbase a contacté l'extorqueur et a confirmé ultérieurement que les allégations de violation étaient infondées. (Coinbase a confirmé collaborer habituellement avec les forces de l'ordre dans ce type d'affaires, mais n'a T précisé si des poursuites pourraient être engagées.)

« Il s'agit d'une tentative d'extorsion totalement infondée. L'individu falsifie des informations pour se faire passer pour légitime, et il cherche simplement à extorquer de l'argent aux entreprises. Je suis sûr que nous ne sommes pas la première entreprise sur leur liste ni la seule arnaque qu'ils pratiquent », a déclaré Jeff Lunglhofer, responsable de la sécurité informatique chez Coinbase, lors d'une interview CoinDesk .

En effet, le mois dernier,L'ancien directeur de la sécurité d'Uber, JOE Sullivan, a été reconnu coupable de deux crimespour avoir prétendument dissimulé un paiement d'extorsion de 100 000 $ à des pirates informatiques après une violation de la base de données de l'entreprise de covoiturage en 2016.

Sur le même sujet : L'extorsion de Crypto est en hausse, selon une étude universitaire

Le scandale Uber et le récent incident de courrier électronique ont incité Lunglhofer à réitérer l'importance d'un programme de primes aux bugs robuste dans un nouveauArticle de blog de Coinbase.Une prime aux bugs est une récompense que les entreprises versent aux individus ou aux équipes de sécurité externes qui découvrent et les alertent des vulnérabilités de leurs systèmes.

« Suite au récent verdict concernant Uber, le secteur s'inquiète vivement de la transformation des demandes de primes aux bugs en tentatives d'extorsion », a écrit Lunglhofer. « Nous avons souhaité partager quelques-unes des meilleures pratiques en matière de Déclaration de transparence responsable, illustrées par une récente tentative d'extorsion (frauduleuse) dont nous avons été victimes. »

Vous avez repéré un bug. Et maintenant ?

Si une personne découvre une vulnérabilité sur l’une des plateformes de Coinbase, Lunglhofer insiste sur la nécessité de fournir une description détaillée et précise du bug présumé.

« Nous ne pouvons T évaluer une soumission qui manque de détails suffisants », déclare-t-il.

Les détails que Lunglhofer LOOKS généralement sont des éléments tels que les chemins d'accès à des informations sensibles ou à des actifs Crypto réels, ainsi qu'une indication des dommages potentiels causés par la vulnérabilité.

Une fois qu'un individu a collecté tous les détails pertinents, la deuxième étape consiste à s'assurer que Coinbase dispose de suffisamment de temps pour corriger le bogue avant de divulguer son existence à quelqu'un d'autre.

« Un chercheur en sécurité responsable nous accordera toujours un délai raisonnable pour répondre à un problème de sécurité et le résoudre avant de divulguer les détails à une autre partie », déclare Lunglhofer.

Sur le même sujet : Éloge des hackers white hat, mais une confiance excessive est insensée

Enfin, Lunglhofer souligne l'importance de respecter la loi. Tenter d'extorquer ou de faire chanter une entreprise pour 450 000 dollars est un acte criminel flagrant.

« Une demande de prime aux bugs ne doit jamais contenir de menaces ni de tentatives d'extorsion. Nous sommes toujours disposés à verser des primes pour des découvertes légitimes », déclare Lunglhofer. « Les demandes de rançon sont une toute autre affaire. »

Le programme de primes aux bugs de Coinbase a fêté ses 10 ans le mois dernier. Le programme a identifié et corrigé plus de 600 bugs et versé plus de 400 000 $ de primes rien que cette année. La plus grosse prime, la coquette somme de 250 000 $, a été versée en février dernier à un chercheur indépendant qui avait découvert une vulnérabilité dans l'interface de trading de Coinbase.