Em uma postagem de blog em 30 de novembro, a Coinbase (NASDAQ:COIN) procurou esclarecer suas políticas de programa de recompensas de bugs em resposta ao recente veredicto de violação de dados do Uber (NYSE:UBER).

A empresa afirmou que ainda aceita a divulgação “responsável” de problemas de segurança, mas os usuários que abusam desse processo não receberão recompensas de bugs:

“A palavra-chave em tudo isso é ‘responsável’. Após o recente veredicto do Uber, há muita preocupação na indústria sobre os envios de recompensas por bugs se tornarem tentativas de extorsão. Na Coinbase, […] pensamos muito em como operamos nosso programa de recompensas de bugs para ficar do lado certo da lei.

O veredicto ao qual a Coinbase se referia foi emitido em 5 de outubro. Joe Sullivan, ex-chefe de segurança do Uber, foi considerado culpado de conluio com invasores para encobrir evidências de violação de dados, de acordo com um relatório do Washington Post. Sullivan alegou originalmente que os invasores enviaram a violação como recompensa por bug e que a empresa os pagou como recompensa por bug.

As empresas de tecnologia costumam usar recompensas de bugs para encorajar hackers white hats a encontrar vulnerabilidades de segurança e denunciá-las. Mas o veredicto de Sullivan levantou a questão de até que ponto um programa de recompensas por bugs pode conceder prêmios a hackers sem entrar em conflito com a própria lei.

Em seu post, a Coinbase afirmou que encontrou alguns participantes do bug bounty que alegam ter cometido ações criminosas que impediriam a empresa de fazer um pagamento legalmente.

Por exemplo, um participante enviou vários e-mails para a equipe dizendo que tinha “dados de 306 milhões de usuários totalmente debulhados” e um “bypass” para pular o período de espera de 48 horas em novos dispositivos. De acordo com a Coinbase, se essa pessoa tivesse essas informações, isso significaria que ela acessou os dados do cliente além do que poderia ser considerado “boa fé” ou “acidental”. Nesse caso, a Coinbase não seria capaz de pagar a recompensa.

Nesse caso específico, a Coinbase disse acreditar que o participante estava fazendo uma alegação falsa. O participante não forneceu nenhuma informação que permitisse verificar a reivindicação, então a equipe ignorou o pedido de recompensa. Mas mesmo que a pessoa que fez a reclamação estivesse dizendo a verdade, seria ilegal pagar a recompensa a ela.

A Coinbase também enfatizou que ameaças ou outras tentativas de extorsão não resultarão em um pagamento de recompensa por bug:

“O mais importante de tudo – um envio de recompensa por bug nunca pode conter ameaças ou tentativas de extorsão. Estamos sempre abertos a pagar recompensas por descobertas legítimas. As exigências de resgate são uma questão totalmente diferente.

A prática de pagar recompensas por bugs às vezes é controversa. Os críticos dizem que isso pode encorajar comportamentos maliciosos, enquanto os defensores dizem que muitas vezes permite que vulnerabilidades sejam descobertas com segurança. Em 19 de outubro, um invasor drenou o aplicativo Moola Market DeFi em US$ 9 milhões em criptomoedas. Mas quando o desenvolvedor se ofereceu para deixar o invasor ficar com US$ 500.000 como uma recompensa por bug, o invasor devolveu os outros US$ 8,5 milhões.

Um ataque semelhante ocorreu na exchange descentralizada, KyberSwap, em setembro. Nesse caso, os invasores roubaram US$ 265.000 e os desenvolvedores se ofereceram para deixá-los ficar com 15% dos fundos se devolvessem o restante. Os suspeitos do caso foram posteriormente identificados, mas os fundos não foram devolvidos e os hackers parecem ainda estar foragidos.

A Coinbase também é negociada na B3 através do ticker (BOV:C2OI34).

A Uber também é negociada na B3 através do ticker (BOV:U1BE34).

Por Tom Blackstone/Cointelegraph