Coinbase澄清漏洞赏金政策以回应Uber的勒索判决

政策澄清指出，参与者不得进行威胁、使用勒索或访问客户数据，除非是偶然的或善意发生的。

在 11 月 30 日的一篇博客文章中，Coinbase 试图澄清其漏洞赏金计划政策，以应对最近的 Uber 数据泄露判决。

该公司表示，它仍然欢迎“负责任”地披露安全问题，但滥用此过程的用户将不会获得漏洞赏金：

“所有这一切的关键词是’负责任’。在最近的Uber判决之后，业内很多人担心提交漏洞赏金会成为敲诈勒索企图。在Coinbase，[…]我们已经花了很多心思来运作我们的漏洞赏金计划，以保持法律的正确立场。

Coinbase所指的判决于10月5日发布。据《华盛顿邮报》报道，前Uber安全主管乔·沙利文(Joe Sullivan)被判犯有与攻击者勾结以掩盖数据泄露证据的罪行。 沙利文最初声称攻击者已将违规行为作为漏洞赏金提交，并且该公司已向他们支付了漏洞赏金。

科技公司经常使用漏洞赏金来鼓励白帽黑客发现安全漏洞并报告。但沙利文的判决提出了一个问题，即漏洞赏金计划可以在不违反法律本身的情况下向黑客颁发奖品方面走多远。

Coinbase在其帖子中表示，它遇到了一些漏洞赏金参与者，他们声称犯下了犯罪行为，这些行为将阻止该公司合法支付。

例如，一名参与者向团队提交了多封电子邮件，称他们“完全删除了3.06亿用户数据”，并“绕过”以跳过新设备上的48小时等待期。根据Coinbase的说法，如果这个人有这样的信息，那就意味着他们访问的客户数据超出了可以被认为是“善意”或“偶然”的范围。在这种情况下，Coinbase将无法支付赏金。

在这种特殊情况下，Coinbase表示他们认为参与者在提出虚假声明。参与者没有提供任何可以验证索赔的信息，因此团队忽略了赏金请求。但是，即使提出索赔的人说的是实话，向他们支付奖励也是非法的。

Coinbase还强调，威胁或其他勒索企图不会导致漏洞赏金：

“最重要的是，提交漏洞赏金永远不会包含威胁或任何勒索企图。我们始终愿意为合法的调查结果支付赏金。赎金要求是完全不同的事情。

支付漏洞赏金的做法有时是有争议的。批评人士说，它可以鼓励恶意行为，而支持者说，它经常允许安全地发现漏洞。10月19日，一名攻击者耗尽了Moola Market DeFi应用程序中价值900万美元的加密货币。但是，当开发人员提出让攻击者保留50万美元作为漏洞赏金时，攻击者退还了另外的850万美元。

九月份，去中心化交易所KyberSwap也发生了类似的攻击。在这种情况下，攻击者窃取了265K美元，开发人员提出让他们保留15%的资金，如果他们愿意归还其余的资金。该案的嫌疑人后来被确认，但资金尚未归还，黑客似乎仍然逍遥法外。