Upaya Pemerasan Coinbase Foils, Memperkuat Program Bug Bounty

Coinbase (KOIN ), pertukaran mata uang kripto terbesar di Amerika berdasarkan volume perdagangan dan pertukaran mata uang kripto pertama yang go public di pasar saham AS, meningkatkan kesadaran akanprogram hadiah bug setelah upaya pemerasan baru-baru ini.

Seorang aktor jahat mengirim email ke Coinbase dan CoinDesk awal bulan ini, mengklaim telah "dehashed" dan "mendekripsi" data sensitif dari 306 juta akun pengguna Coinbase (Coinbase mengatakan secara matematis tidak mungkin untuk "dehash" atau "mendekripsi" data). Individu tersebut mengancam akan go public jika Coinbase tidak membayar $450.000.

Tim keamanan Coinbase menghubungi pemeras dan kemudian menegaskan klaim pelanggaran tidak berdasar. (Coinbase mengonfirmasi bahwa biasanya bekerja sama dengan penegak hukum dalam kasus seperti itu tetapi tidak menjelaskan apakah akan dikenakan biaya.)

“Ini adalah upaya pemerasan yang benar-benar tidak berdasar. Individu tersebut memalsukan informasi agar dianggap sah dan mereka hanya mencoba memeras uang dari perusahaan. Saya yakin kami bukan perusahaan pertama dalam daftar mereka atau satu-satunya penipuan yang mereka jalankan,” kata Jeff Lunglhofer, kepala petugas keamanan informasi di Coinbase, kepada CoinDesk dalam sebuah wawancara.

Memang, bulan lalu,Mantan kepala petugas keamanan Uber, Joe Sullivan, dihukum karena dua tindak pidana berat karena diduga menutupi pembayaran pemerasan $ 100.000 kepada peretas setelah pelanggaran database perusahaan ridesharing tahun 2016.

Skandal Uber dan insiden email baru-baru ini mendorong Lunglhofer untuk menegaskan kembali pentingnya program hadiah bug yang kuat di era baru.Posting blog Coinbase. Hadiah bug adalah hadiah yang dibayarkan perusahaan kepada individu atau tim keamanan luar yang menemukan dan mengingatkan mereka akan kerentanan dalam sistem mereka.

“Setelah vonis Uber baru-baru ini, ada banyak kekhawatiran di industri tentang pengajuan bug bounty menjadi upaya pemerasan,” tulis Lunglhofer. “Kami pikir kami akan membagikan beberapa praktik terbaik untuk pengungkapan yang bertanggung jawab, yang diilustrasikan oleh upaya pemerasan (penipuan) baru-baru ini yang kami terima.”

Anda menemukan bug. Sekarang apa?

Jika seseorang menemukan kerentanan di salah satu platform Coinbase, Lunglhofer menekankan untuk memberikan deskripsi terperinci dan akurat tentang dugaan bug tersebut.

“Kami tidak dapat mengevaluasi pengajuan yang kurang detail,” katanya.

Detail yang biasanya dicari Lunglhofer adalah hal-hal seperti jalur akses ke informasi sensitif atau ke aset crypto aktual, serta indikasi potensi kerusakan dari kerentanan.

Setelah seseorang mengumpulkan semua detail terkait, langkah kedua adalah memastikan Coinbase memiliki waktu yang cukup untuk menambal bug sebelum mengungkapkan keberadaannya kepada orang lain.

“Peneliti keamanan yang bertanggung jawab akan selalu menyediakan waktu yang wajar bagi kami untuk menanggapi dan memperbaiki masalah keamanan sebelum mengungkapkan detailnya kepada pihak lain,” kata Lunglhofer.

Akhirnya, Lunglhofer menekankan pentingnya tetap taat hukum. Mencoba memeras atau memeras perusahaan sebesar $450.000 adalah tindakan kriminal yang terang-terangan.

“Pengajuan bug bounty tidak akan pernah mengandung ancaman atau upaya pemerasan. Kami selalu terbuka untuk membayar hadiah untuk temuan yang sah,” kata Lunglhofer. “Tuntutan tebusan adalah masalah yang sama sekali berbeda.”

Program bug bounty Coinbase menandai peringatan 10 tahun bulan lalu. Program ini telah menemukan dan memperbaiki lebih dari 600 bug dan membayar hadiah lebih dari $400.000 tahun ini saja. Hadiah terbesar dari program ini, $250.000 yang keren, dibayarkan Februari lalu kepada seorang peneliti independen yang menemukan kerentanan di antarmuka perdagangan Coinbase.