Coinbase sventa il tentativo di estorsione e rafforza il programma Bug Bounty

Coinbase (CONIARE), il più grande exchange Criptovaluta negli Stati Uniti per volume di scambi e il primo exchange Cripto ad essere quotato in borsa su un mercato azionario statunitense, sta aumentando la consapevolezza del suo programma di ricompensa per bugdopo un recente tentativo di estorsione.

Un malintenzionato ha inviato un'e-mail sia a Coinbase che a CoinDesk all'inizio di questo mese, sostenendo di aver "dehashato" e "decifrato" dati sensibili da 306 milioni di account utente Coinbase (Coinbase afferma che non è matematicamente possibile "dehashare" o "decifrare" i dati). L'individuo ha minacciato di rendere pubblica la propria attività se Coinbase T avesse sborsato $ 450.000.

Il team di sicurezza di Coinbase ha contattato l'estorsore e in seguito ha confermato che le affermazioni di una violazione erano infondate. (Coinbase ha confermato che in genere collabora con le forze dell'ordine in casi simili, ma T ha fornito dettagli sulla possibilità che vengano presentate accuse.)

"Questo è un tentativo di estorsione assolutamente infondato. L'individuo sta falsificando informazioni per apparire legittimo e sta solo cercando di estorcere denaro alle aziende. Sono sicuro che non siamo la prima azienda nella loro lista o l'unica truffa che hanno in corso", ha detto a CoinDesk Jeff Lunglhofer, responsabile della sicurezza informatica di Coinbase, in un'intervista.

Infatti, il mese scorso,L'ex responsabile della sicurezza di Uber, JOE Sullivan, è stato condannato per due reati graviper aver presumibilmente coperto un pagamento estorsivo di 100.000 dollari agli hacker dopo una violazione del database della società di ride-sharing avvenuta nel 2016.

Continua a leggere: L'estorsione Cripto è in aumento, afferma uno studio accademico

Sia lo scandalo Uber che il recente incidente via e-mail hanno spinto Lunglhofer a ribadire l'importanza di un solido programma di bug bounty in un nuovoPost del blog di Coinbase.Un bug bounty è una ricompensa che le aziende pagano a singoli individui o team di sicurezza esterni che scoprono e segnalano vulnerabilità nei loro sistemi.

"In seguito al recente verdetto di Uber, c'è molta preoccupazione nel settore circa il fatto che le richieste di bug bounty possano trasformarsi in tentativi di estorsione", ha scritto Lunglhofer. "Abbiamo pensato di condividere alcune delle migliori pratiche per Dichiarazione informativa responsabile, illustrate da un recente tentativo di estorsione (fraudolento) che abbiamo ricevuto".

Hai individuato un bug. E ora?

Se un individuo scopre una vulnerabilità su una qualsiasi delle piattaforme di Coinbase, Lunglhofer sottolinea l'importanza di fornire una descrizione dettagliata e accurata del presunto bug.

"T possiamo valutare una proposta che non sia sufficientemente dettagliata", afferma.

I dettagli che Lunglhofer solitamente LOOKS sono elementi come i percorsi di accesso alle informazioni sensibili o alle Cripto vere e proprie, nonché un'indicazione del potenziale danno derivante dalla vulnerabilità.

Una volta che un individuo ha raccolto tutti i dettagli pertinenti, il secondo passo è assicurarsi che Coinbase abbia tempo sufficiente per correggere il bug prima di rivelarne l'esistenza a chiunque altro.

"Un ricercatore di sicurezza responsabile ci fornirà sempre un lasso di tempo ragionevole per rispondere e risolvere un problema di sicurezza prima di divulgare i dettagli a qualsiasi altra parte", afferma Lunglhofer.

Continua a leggere: Elogio degli hacker white-hat, ma l'eccessivo affidamento è una follia

Infine, Lunglhofer sottolinea l'importanza di rimanere nel rispetto della legge. Tentare di estorcere o ricattare un'azienda per 450.000 $ è palesemente criminale.

"Una richiesta di bug bounty non può mai contenere minacce o tentativi di estorsione. Siamo sempre aperti a pagare taglie per scoperte legittime", afferma Lunglhofer. "Le richieste di riscatto sono una questione completamente diversa".

Il programma bug bounty di Coinbase ha festeggiato il suo decimo anniversario il mese scorso. Il programma ha trovato e risolto più di 600 bug e ha pagato più di $ 400.000 in ricompense solo quest'anno. La ricompensa più grande del programma, ben $ 250.000, è stata pagata lo scorso febbraio a un ricercatore indipendente che ha scoperto una vulnerabilità nell'interfaccia di trading di Coinbase.