Coinbase пресекает попытку вымогательства и усиливает программу вознаграждений за обнаруженные ошибки

Коинбейс (МОНЕТА), крупнейшая Криптовалюта биржа в США по объему торгов и первая Криптo биржа, вышедшая на фондовый рынок США, повышает осведомленность о своей программа вознаграждения за найденные ошибкипосле недавней попытки вымогательства.

Ранее в этом месяце злоумышленник отправил электронное письмо Coinbase и CoinDesk , заявив, что он «дехешировал» и «расшифровал» конфиденциальные данные из 306 миллионов учетных записей пользователей Coinbase (Coinbase утверждает, что математически невозможно «дехешировать» или «расшифровать» данные). Этот человек пригрозил раскрыться, если Coinbase T выложит 450 000 долларов.

Служба безопасности Coinbase связалась с вымогателем и позже подтвердила, что заявления о взломе были необоснованными. (Coinbase подтвердила, что обычно сотрудничает с правоохранительными органами в таких случаях, но T уточнила, могут ли быть предъявлены обвинения.)

«Это абсолютно беспочвенная попытка вымогательства. Человек фальсифицирует информацию, чтобы выдать себя за законную, и он просто пытается вымогать деньги у компаний. Я уверен, что мы не первая компания в их списке и не единственная афера, которую они проворачивают», — сказал Джефф Ланглхофер, главный специалист по информационной безопасности Coinbase, в интервью CoinDesk .

Действительно, в прошлом месяце,Бывший начальник службы безопасности Uber JOE Салливан был признан виновным в двух тяжких преступленияхза предполагаемое сокрытие вымогательства в размере 100 000 долларов США хакерам после взлома базы данных компании по совместному использованию такси в 2016 году.

Читать дальше: Согласно академическому исследованию, Криптo вымогательство растет

Скандал с Uber и недавний инцидент с электронной почтой побудили Лунглхофера вновь подчеркнуть важность надежной программы вознаграждения за обнаруженные ошибки в новойЗапись в блоге Coinbase.Премия за обнаруженные ошибки — это вознаграждение, которое компании выплачивают отдельным лицам или сторонним группам безопасности, которые обнаруживают уязвимости в своих системах и сообщают о них.

«В связи с недавним вердиктом Uber в отрасли возникла большая обеспокоенность по поводу того, что заявки на получение вознаграждения за обнаружение уязвимостей могут стать попытками вымогательства», — написал Лунглхофер. «Мы подумали, что поделимся некоторыми из лучших практик ответственного Раскрытие информации, проиллюстрированными недавней (мошеннической) попыткой вымогательства, которую мы получили».

Вы заметили ошибку. Что теперь?

Лунглхофер подчеркивает, что если кто-то обнаружит уязвимость на любой из платформ Coinbase, необходимо предоставить подробное и точное описание предполагаемой ошибки.

«Мы T можем оценить заявку, в которой недостаточно подробностей», — заявляет он.

Обычно Лунглхофер LOOKS такие сведения, как пути доступа к конфиденциальной информации или реальным Криптo , а также признаки потенциального ущерба от уязвимости.

После того, как пользователь соберет все необходимые данные, вторым шагом станет предоставление Coinbase достаточного времени для исправления ошибки, прежде чем сообщать о ее существовании кому-либо еще.

«Ответственный исследователь безопасности всегда предоставит нам разумное количество времени для реагирования и устранения проблемы безопасности, прежде чем раскрывать подробности какой-либо третьей стороне», — говорит Лунглхофер.

Читать дальше: Похвала хакерам-«белым шляпам», но переоценивать свои возможности глупо

Наконец, Лунглхофер подчеркивает важность соблюдения закона. Попытка вымогательства или шантажа компании на сумму 450 000 долларов является откровенно преступной.

«Отправка bug bounty никогда не может содержать угроз или попыток вымогательства. Мы всегда открыты для выплаты вознаграждений за законные находки», — говорит Лунглхофер. «Требования выкупа — это совсем другое дело».

Программа вознаграждений за ошибки Coinbase отметила свой 10-летний юбилей в прошлом месяце. Программа нашла и исправила более 600 ошибок и выплатила более 400 000 долларов вознаграждений только в этом году. Самая большая премия от программы, 250 000 долларов, была выплачена в феврале этого года независимому исследователю, который обнаружил уязвимость в торговом интерфейсе Coinbase.