Coinbase(COIN)是美国交易量最大的加密货币交易所,也是第一家在美国股市上市的加密货币交易所,在最近发生勒索企图后,该交易所正在提高人们对其漏洞赏金计划的认识。
本月早些时候,一名恶意行为者向Coinbase 和CoinDesk 发送了电子邮件,声称已对3.06 亿个Coinbase 用户帐户的敏感资料进行了「去哈希」和「解密」(Coinbase 表示,从数学角度来说,「去哈希」或「解密」资料是不可能的)。该人士威胁称,如果 Coinbase 不支付 45 万美元,他将公开此事。
Coinbase 的安全团队联系了勒索者,后来证实有关违规行为的说法毫无根据。 (Coinbase 证实,在此类案件中,它通常会与执法部门合作,但没有详细说明是否可能提出指控。)
「这绝对是毫无根据的敲诈勒索企图。个人伪造资讯以使其看起来合法,他们只是想从公司勒索金钱。我确信我们不是他们名单上的第一家公司,也不是他们实施的唯一骗局。
事实上,上个月,Uber 前首席安全官乔·沙利文(Joe Sullivan) 被判犯有两项重罪,罪名是涉嫌在2016 年共享出行公司数据库遭到破坏后掩盖向黑客支付的10 万美元勒索款项。
Uber 丑闻和最近的电子邮件事件都促使 Lunglhofer 在 Coinbase 的一篇新部落格文章中重申了强大的错误赏金计划的重要性。漏洞赏金是公司向个人或外部安全团队支付的奖励,这些个人或外部安全团队发现并警告他们系统中的漏洞。
Lunglhofer 写道:“在最近的 Uber 判决之后,业界非常担心提交错误赏金会成为勒索企图。” “我们认为我们应该分享一些负责任披露的最佳实践,我们最近收到的一次(欺诈性)勒索企图就说明了这一点。”
您发现了一个错误。怎么办?
如果有人在 Coinbase 的任何平台上发现漏洞,Lunglhofer 强调提供对所指控的错误的详细而准确的描述。
「我们无法评估缺乏足够细节的提交内容,」他表示。
Lunglhofer 通常寻找的详细资讯包括敏感资讯或实际加密资产的存取路径,以及漏洞潜在损害的迹象。
一旦个人收集了所有相关细节,第二步就是确保 Coinbase 有足够的时间来修补该错误,然后再向其他人透露该错误的存在。
「在向任何其他方披露详细资讯之前,负责任的安全研究人员始终会为我们提供合理的时间来回应和解决安全问题,」Lunglhofer 说。
最后,朗格霍费尔强调了维持合法性的重要性。试图勒索或勒索一家公司 45 万美元的行为是公然的犯罪行为。
「提交的错误赏金绝不能包含威胁或任何勒索企图。我们始终愿意为合法发现支付赏金,」Lunglhofer 说。 “赎金要求完全是另一回事。”
上个月,Coinbase 的漏洞赏金计划迎来了 10 周年。该计划仅在今年就发现并修复了 600 多个错误,并支付了超过 40 万美元的奖金。该计划的最大一笔赏金是今年 2 月的 25 万美元,支付给了一名发现 Coinbase 交易介面漏洞的独立研究人员。
