Coinbase aclara la política de recompensas por errores en respuesta al veredicto de extorsión de Uber
En una publicación del blog el 30 de noviembre, Coinbase trató de aclarar las políticas de su programa de recompensas por errores en respuesta al reciente veredicto sobre la violación de datos de Uber.
La empresa afirmó que sigue acogiendo con satisfacción la divulgación “responsable” de los problemas de seguridad, pero que los usuarios que abusen de este proceso no recibirán recompensas por errores:
“La palabra clave en todo esto es ‘responsable’. A raíz del reciente veredicto sobre Uber, existe una gran preocupación en el sector por el hecho de que los envíos de recompensas por fallos se conviertan en intentos de extorsión. En Coinbase, […] hemos reflexionado mucho sobre cómo operamos nuestro programa de bug bounty para mantenernos en el lado correcto de la ley”.
La página oficial de reporte de recompensas por errores de Coinbase en HackerOne
El veredicto al que se refiere Coinbase se emitió el 5 de octubre. Joe Sullivan, ex jefe de seguridad de Uber, fue declarado culpable de coludir con los atacantes para encubrir las pruebas de una violación de datos, según un informe del Washington Post. Sullivan había afirmado en un principio que los atacantes habían presentado la filtración como una recompensa por errores y que la empresa les había pagado como recompensa por errores.
Las empresas tecnológicas suelen utilizar las recompensas por fallos para animar a los hackers éticos blanco a encontrar vulnerabilidades de seguridad y notificarlas. Pero el veredicto de Sullivan ha planteado la cuestión de hasta dónde puede llegar un programa de recompensas por fallos para premiar a los hackers sin infringir la propia ley.
En su publicación, Coinbase afirmó que se ha encontrado con algunos participantes en el programa de recompensas por fallos que afirman haber cometido acciones delictivas que impedirían a la empresa poder realizar un pago legalmente.
Por ejemplo, un participante envió múltiples correos electrónicos al equipo diciendo que tenía “los datos de 306 millones de usuarios totalmente descifrados” y un “bypass” para saltarse el periodo de espera de 48 horas en los nuevos dispositivos. Según Coinbase, si esta persona tenía esa información, significaría que accedió a los datos de los clientes más allá de lo que podría considerarse “buena fe” o “accidental”. En tal caso, Coinbase no podría pagar la recompensa.
En este caso concreto, Coinbase dijo que creía que el participante estaba haciendo una reclamación falsa. El participante no proporcionó ninguna información que permitiera verificar la reclamación, por lo que el equipo ignoró la solicitud de recompensa. Pero incluso si la persona que hizo la reclamación hubiera dicho la verdad, habría sido ilegal pagarle la recompensa.
Coinbase también hizo hincapié en que las amenazas u otros intentos de extorsión no darán lugar al pago de la recompensa por fallos:
“Lo más importante de todo es que la presentación de una recompensa por fallos nunca puede contener amenazas ni intentos de extorsión. Siempre estamos abiertos a pagar recompensas por hallazgos legítimos. Las peticiones de rescate son un asunto totalmente diferente”.
La práctica de pagar recompensas por fallos es a veces controvertida. Los críticos dicen que puede fomentar el comportamiento malicioso, mientras que los partidarios dicen que a menudo permite descubrir vulnerabilidades de forma segura. El 19 de octubre, un atacante robó la aplicación Moola Market DeFi de USD 9 millones en criptomonedas. Pero cuando el desarrollador se ofreció a dejar que el atacante se quedara con USD 500,000 como recompensa por los fallos, el atacante devolvió los otros USD 8.5 millones.
En septiembre se produjo un ataque similar en el exchange descentralizado KyberSwap. En este caso, los atacantes robaron USD 265,000 y los desarrolladores les ofrecieron quedarse con el 15% de los fondos si devolvían el resto. Los sospechosos del caso fueron identificados más tarde, pero los fondos no han sido devueltos y los hackers parecen seguir en libertad.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
Sigues leyendo:
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.