Coinbase Foils Extortion Attempt, Pinapalakas ang Bug Bounty Program

Coinbase (BARYA), ang pinakamalaking palitan ng Cryptocurrency sa US ayon sa dami ng kalakalan at ang unang palitan ng Crypto na naging pampubliko sa stock market ng US, ay nagpapataas ng kamalayan sa programa ng bug bounty pagkatapos ng kamakailang pagtatangkang pangingikil.

Isang malisyosong aktor ang nag-email sa parehong Coinbase at CoinDesk noong unang bahagi ng buwang ito, na nagsasabing "na-dehash" at "na-decrypt" ang sensitibong data mula sa 306 milyong Coinbase user account (sabi ng Coinbase na hindi posible sa matematika na "dehash" o "decrypt" ang data). Ang indibidwal ay nagbanta na magsapubliko kung ang Coinbase ay T maglalabas ng $450,000.

Nakipag-ugnayan ang security team ng Coinbase sa extortionist at kalaunan ay nakumpirma na ang mga claim ng isang paglabag ay walang batayan. (Kinumpirma ng Coinbase na karaniwang nakikipagtulungan ito sa pagpapatupad ng batas sa mga ganitong kaso ngunit T nagpaliwanag kung maaaring magsampa ng mga singil.)

"Ito ay isang ganap na walang batayan na pagtatangka sa pangingikil. Ang indibidwal ay nagpapanggap ng impormasyon upang makita bilang lehitimo, at sinusubukan lamang nilang mangikil ng pera sa mga kumpanya. Sigurado ako na hindi kami ang unang kumpanya sa kanilang listahan o ang tanging scam na kanilang pinapatakbo," sinabi ni Jeff Lunglhofer, punong opisyal ng seguridad ng impormasyon sa Coinbase, sa CoinDesk sa isang panayam.

Sa katunayan, noong nakaraang buwan, Ang dating punong opisyal ng seguridad ng Uber, JOE Sullivan, ay nahatulan ng dalawang felonies para sa diumano'y pagtakpan ng $100,000 na bayad sa pangingikil sa mga hacker pagkatapos ng paglabag noong 2016 sa database ng ride-sharing firm.

Read More: Ang Crypto Extortion on the Rise, Sabi ng Academic Study

Parehong ang Uber scandal at ang kamakailang insidente sa email ay nag-udyok kay Lunglhofer na ulitin ang kahalagahan ng isang matatag na bug bounty program sa isang bagong Post sa blog ng Coinbase. Ang bug bounty ay isang reward na ibinabayad ng mga kumpanya sa mga indibidwal o sa labas ng mga security team na nakatuklas at nag-aalerto sa kanila sa mga kahinaan sa kanilang mga system.

"Kasunod ng kamakailang hatol ng Uber, maraming pag-aalala sa industriya tungkol sa mga pagsusumite ng bug bounty na nagiging mga pagtatangka sa pangingikil," isinulat ni Lunglhofer. "Naisip namin na ibabahagi namin ang ilan sa mga pinakamahusay na kagawian para sa responsableng Disclosure, na inilalarawan ng kamakailang (mapanlinlang) na pagtatangkang pangingikil na natanggap namin."

May nakita kang bug. Ngayon ano?

Kung natuklasan ng isang indibidwal ang kahinaan sa alinman sa mga platform ng Coinbase, binibigyang-diin ng Lunglhofer ang pagbibigay ng detalyado at tumpak na paglalarawan ng pinaghihinalaang bug.

"T namin masuri ang isang pagsusumite na kulang sa sapat na detalye," sabi niya.

Ang mga detalyeng karaniwang LOOKS ni Lunglhofer ay mga bagay tulad ng mga daanan ng pag-access sa sensitibong impormasyon o sa aktwal na mga asset ng Crypto , pati na rin ang isang indikasyon ng potensyal na pinsala mula sa kahinaan.

Kapag nakolekta ng isang indibidwal ang lahat ng may kinalamang detalye, ang pangalawang hakbang ay ang pagtiyak na ang Coinbase ay may sapat na oras upang i-patch ang bug bago ibunyag ang pagkakaroon nito sa sinuman.

"Ang isang responsableng mananaliksik sa seguridad ay palaging magbibigay ng makatwirang tagal ng oras para tumugon kami at ayusin ang isang isyu sa seguridad bago ibunyag ang mga detalye sa anumang ibang partido," sabi ni Lunglhofer.

Read More: Sa Papuri sa mga White-Hat Hacker, ngunit Ang Overreliance ay Kamangmangan

Sa wakas, binibigyang-diin ni Lunglhofer ang kahalagahan ng pananatiling ayon sa batas. Ang pagtatangkang mangikil o mang-blackmail sa isang kumpanya sa halagang $450,000 ay tahasang kriminal.

"Ang pagsusumite ng bug bounty ay hindi kailanman maaaring maglaman ng mga banta o anumang pagtatangka sa pangingikil. Palagi kaming bukas sa pagbabayad ng mga bounty para sa mga lehitimong natuklasan," sabi ni Lunglhofer. "Ang mga kahilingan sa pantubos ay isang ganap na naiibang bagay."

Ang bug bounty program ng Coinbase ay minarkahan ang 10 taong anibersaryo nito noong nakaraang buwan. Ang programa ay nakahanap at nag-ayos ng higit sa 600 mga bug at nagbayad ng higit sa $400,000 sa mga bounty sa taong ito lamang. Ang pinakamalaking bounty mula sa programa, isang cool na $250,000, ay binayaran nitong nakaraang Pebrero sa isang independiyenteng mananaliksik na nakatuklas ng kahinaan sa interface ng kalakalan ng Coinbase.