Coinbase frustra tentativa de extorsão e reforça programa de recompensa por bugs

Coinbase (MOEDA), a maior bolsa de Criptomoeda dos EUA em volume de negociação e a primeira bolsa de Cripto a abrir o capital em uma bolsa de valores dos EUA, está aumentando a conscientização sobre sua programa de recompensa por bugsapós uma recente tentativa de extorsão.

Um ator malicioso enviou e-mails para a Coinbase e a CoinDesk no início deste mês, alegando ter "dehash" e "descriptografado" dados confidenciais de 306 milhões de contas de usuários da Coinbase (a Coinbase diz que não é matematicamente possível "dehash" ou "descriptografar" dados). O indivíduo ameaçou tornar público se a Coinbase T desembolsasse US$ 450.000.

A equipe de segurança da Coinbase contatou o extorsionário e depois confirmou que as alegações de violação eram infundadas. (A Coinbase confirmou que normalmente colabora com as autoridades policiais nesses casos, mas T elaborou se acusações podem ser feitas.)

“Esta é uma tentativa de extorsão absolutamente infundada. O indivíduo está falsificando informações para parecer legítimo, e eles estão apenas tentando extorquir dinheiro de empresas. Tenho certeza de que não somos a primeira empresa na lista deles ou o único golpe que eles estão fazendo”, disse Jeff Lunglhofer, diretor de segurança da informação da Coinbase, à CoinDesk em uma entrevista.

Na verdade, no mês passado,O ex-diretor de segurança da Uber, JOE Sullivan, foi condenado por dois crimes gravespor supostamente encobrir um pagamento de extorsão de US$ 100.000 a hackers após uma violação do banco de dados da empresa de compartilhamento de viagens em 2016.

Leia Mais: Extorsão de Cripto está aumentando, diz estudo acadêmico

Tanto o escândalo da Uber como o recente incidente de e-mail levaram Lunglhofer a reiterar a importância de um programa robusto de recompensa por bugs num novoPostagem do blog da Coinbase.Uma recompensa por bug é uma recompensa que as empresas pagam a indivíduos ou equipes de segurança externas que descobrem e alertam sobre vulnerabilidades em seus sistemas.

“Na esteira do veredito recente da Uber, há muita preocupação na indústria sobre envios de recompensas por bugs se tornarem tentativas de extorsão”, escreveu Lunglhofer. “Pensamos em compartilhar algumas das melhores práticas para Aviso Importante responsável, ilustradas por uma tentativa recente (fraudulenta) de extorsão que recebemos.”

Você viu um bug. E agora?

Se um indivíduo descobrir uma vulnerabilidade em qualquer uma das plataformas da Coinbase, Lunglhofer enfatiza o fornecimento de uma descrição detalhada e precisa do suposto bug.

“T podemos avaliar uma submissão que não tenha detalhes suficientes”, ele afirma.

Os detalhes que Lunglhofer normalmente LOOKS são coisas como caminhos de acesso a informações confidenciais ou a ativos Cripto reais, bem como uma indicação de danos potenciais da vulnerabilidade.

Depois que um indivíduo coleta todos os detalhes pertinentes, o segundo passo é garantir que a Coinbase tenha tempo suficiente para corrigir o bug antes de revelar sua existência a qualquer outra pessoa.

“Um pesquisador de segurança responsável sempre nos dará um tempo razoável para responder e corrigir um problema de segurança antes de divulgar os detalhes a qualquer outra parte”, diz Lunglhofer.

Leia Mais: Em louvor aos hackers de chapéu branco, mas a confiança excessiva é tolice

Por fim, Lunglhofer enfatiza a importância de permanecer legal. Tentar extorquir ou chantagear uma empresa por US$ 450.000 é flagrantemente criminoso.

“Um envio de bug bounty nunca pode conter ameaças ou quaisquer tentativas de extorsão. Estamos sempre abertos a pagar bounties por descobertas legítimas”, diz Lunglhofer. “Exigências de resgate são uma questão totalmente diferente.”

O programa de recompensas por bugs da Coinbase comemorou seu aniversário de 10 anos no mês passado. O programa encontrou e corrigiu mais de 600 bugs e pagou mais de US$ 400.000 em recompensas somente neste ano. A maior recompensa do programa, uns bons US$ 250.000, foi paga em fevereiro passado a um pesquisador independente que descobriu uma vulnerabilidade na interface de negociação da Coinbase.