Coinbase klärt die Bug-Bounty-Richtlinie als Reaktion auf das Uber-Erpressungsurteil
In der Klarstellung der Richtlinie heißt es, dass die Teilnehmer keine Drohungen aussprechen, Erpressungen anwenden oder auf Kundendaten zugreifen dürfen, die über das hinausgehen, was zufällig oder in gutem Glauben ist.< /p>
Neu
In einem Blogbeitrag vom 30. November versuchte Coinbase, die Richtlinien seines Bug-Bounty-Programms als Reaktion auf Ubers jüngstes Urteil wegen Datenschutzverletzungen zu klären.
Das Unternehmen sagte, es begrüße immer eine "verantwortungsvolle" Offenlegung von Sicherheitsproblemen, aber Benutzer, die diesen Prozess missbrauchen, erhalten keine Prämie für Bugs:
"Das Schlüsselwort bei all dem ist 'verantwortungsvoll'. Nach dem jüngsten Urteil von Uber gibt es in der Branche große Bedenken, dass Bug-Bounty-Einreichungen zu Erpressungsversuchen werden. Bei Coinbase [...] haben wir viel investiert Gedanken darüber, wie wir unser Bug-Bounty-Programm betreiben, um auf der richtigen Seite des Gesetzes zu bleiben."
Die offizielle Bug-Bounty-Berichtsseite Coinbase auf HackerOne Das Urteil, auf das sich Coinbase bezog, wurde am 5. Oktober verkündet. Der ehemalige Uber-Sicherheitschef Joe Sullivan wurde laut einem Bericht der Washington Post für schuldig befunden, mit Angreifern zusammengearbeitet zu haben, um Beweise für eine Datenpanne zu verbergen. Sullivan behauptete ursprünglich, dass die Angreifer den Verstoß als Bug-Bounty eingereicht und das Unternehmen sie als Bug-Bounty-Belohnung bezahlt habe.
Tech-Unternehmen setzen häufig Bug-Bounties ein, um White-Hat-Hacker dazu zu ermutigen, Sicherheitslücken zu finden und zu melden. Aber Sullivans Urteil warf die Frage auf, wie weit ein Bug-Bounty-Programm bei der Vergabe von Preisen an Hacker gehen kann, ohne selbst gegen das Gesetz zu verstoßen.
In seinem Artikel sagte Coinbase, dass es auf Bug-Bounty-Teilnehmer gestoßen sei, die behaupten, kriminelle Handlungen begangen zu haben, die das Unternehmen daran hindern würden, legal eine Zahlung zu leisten.
Zum Beispiel schickte ein Teilnehmer mehrere E-Mails an das Team, in denen er sagte, dass er „306 Millionen vollständig entschlüsselte Benutzerdaten“ und einen „Workaround“ habe, um die Wartezeit von 48 Stunden auf neuen Geräten zu vermeiden. Wenn diese Person über solche Informationen verfügte, würde dies laut Coinbase bedeuten, dass sie auf Kundendaten zugegriffen hätte, die über das hinausgingen, was als „gutgläubig“ oder „zufällig“ angesehen werden könnte. In einem solchen Fall wäre Coinbase nicht in der Lage, die Prämie zu zahlen.
In diesem speziellen Fall Coi...
In der Klarstellung der Richtlinie heißt es, dass die Teilnehmer keine Drohungen aussprechen, Erpressungen anwenden oder auf Kundendaten zugreifen dürfen, die über das hinausgehen, was zufällig oder in gutem Glauben ist.< /p>
Neu
In einem Blogbeitrag vom 30. November versuchte Coinbase, die Richtlinien seines Bug-Bounty-Programms als Reaktion auf Ubers jüngstes Urteil wegen Datenschutzverletzungen zu klären.
Das Unternehmen sagte, es begrüße immer eine "verantwortungsvolle" Offenlegung von Sicherheitsproblemen, aber Benutzer, die diesen Prozess missbrauchen, erhalten keine Prämie für Bugs:
"Das Schlüsselwort bei all dem ist 'verantwortungsvoll'. Nach dem jüngsten Urteil von Uber gibt es in der Branche große Bedenken, dass Bug-Bounty-Einreichungen zu Erpressungsversuchen werden. Bei Coinbase [...] haben wir viel investiert Gedanken darüber, wie wir unser Bug-Bounty-Programm betreiben, um auf der richtigen Seite des Gesetzes zu bleiben."
Die offizielle Bug-Bounty-Berichtsseite Coinbase auf HackerOne Das Urteil, auf das sich Coinbase bezog, wurde am 5. Oktober verkündet. Der ehemalige Uber-Sicherheitschef Joe Sullivan wurde laut einem Bericht der Washington Post für schuldig befunden, mit Angreifern zusammengearbeitet zu haben, um Beweise für eine Datenpanne zu verbergen. Sullivan behauptete ursprünglich, dass die Angreifer den Verstoß als Bug-Bounty eingereicht und das Unternehmen sie als Bug-Bounty-Belohnung bezahlt habe.
Tech-Unternehmen setzen häufig Bug-Bounties ein, um White-Hat-Hacker dazu zu ermutigen, Sicherheitslücken zu finden und zu melden. Aber Sullivans Urteil warf die Frage auf, wie weit ein Bug-Bounty-Programm bei der Vergabe von Preisen an Hacker gehen kann, ohne selbst gegen das Gesetz zu verstoßen.
In seinem Artikel sagte Coinbase, dass es auf Bug-Bounty-Teilnehmer gestoßen sei, die behaupten, kriminelle Handlungen begangen zu haben, die das Unternehmen daran hindern würden, legal eine Zahlung zu leisten.
Zum Beispiel schickte ein Teilnehmer mehrere E-Mails an das Team, in denen er sagte, dass er „306 Millionen vollständig entschlüsselte Benutzerdaten“ und einen „Workaround“ habe, um die Wartezeit von 48 Stunden auf neuen Geräten zu vermeiden. Wenn diese Person über solche Informationen verfügte, würde dies laut Coinbase bedeuten, dass sie auf Kundendaten zugegriffen hätte, die über das hinausgingen, was als „gutgläubig“ oder „zufällig“ angesehen werden könnte. In einem solchen Fall wäre Coinbase nicht in der Lage, die Prämie zu zahlen.
In diesem speziellen Fall Coi...
What's Your Reaction?
