Coinbase (ĐỒNG TIỀN ), sàn giao dịch tiền điện tử lớn nhất của Mỹ tính theo khối lượng giao dịch và là sàn giao dịch tiền điện tử đầu tiên ra mắt công chúng trên thị trường chứng khoán Hoa Kỳ, đang nâng cao nhận thức vềchương trình tiền thưởng lỗi sau một nỗ lực tống tiền gần đây.
Một diễn viên độc hại đã gửi email cho cả Coinbase và CoinDesk vào đầu tháng này, tuyên bố đã “xóa băm” và “giải mã” dữ liệu nhạy cảm từ 306 triệu tài khoản người dùng Coinbase (Coinbase cho biết về mặt toán học không thể “xóa băm” hoặc “giải mã” dữ liệu). Cá nhân này đe dọa sẽ công khai nếu Coinbase không chi ra 450.000 đô la.
Nhóm bảo mật của Coinbase đã liên hệ với kẻ tống tiền và sau đó xác nhận các tuyên bố về vi phạm là vô căn cứ. (Coinbase xác nhận rằng họ thường hợp tác với cơ quan thực thi pháp luật trong những trường hợp như vậy nhưng không nói rõ liệu có thể đưa ra các cáo buộc hay không.)
“Đây là một nỗ lực tống tiền hoàn toàn vô căn cứ. Cá nhân đang làm sai lệch thông tin để có vẻ hợp pháp và họ chỉ đang cố gắng moi tiền của các công ty. Tôi chắc chắn rằng chúng tôi không phải là công ty đầu tiên trong danh sách của họ hay trò lừa đảo duy nhất mà họ đang thực hiện,” Jeff Lunglhofer, giám đốc bảo mật thông tin tại Coinbase, nói với CoinDesk trong một cuộc phỏng vấn.
Thật vậy, tháng trước,Joe Sullivan, cựu giám đốc an ninh của Uber, bị kết án hai trọng tội vì bị cáo buộc che đậy khoản thanh toán tống tiền 100.000 đô la cho tin tặc sau vụ vi phạm cơ sở dữ liệu của công ty trình chiếu năm 2016.
Cả vụ bê bối Uber và sự cố email gần đây đã khiến Lunglhofer nhắc lại tầm quan trọng của một chương trình tiền thưởng lỗi mạnh mẽ trong một báo cáo mới.Bài đăng trên blog của Coinbase. Tiền thưởng tìm lỗi là phần thưởng mà các công ty trả cho các cá nhân hoặc nhóm bảo mật bên ngoài phát hiện và cảnh báo họ về các lỗ hổng trong hệ thống của họ.
Lunglhofer viết: “Sau phán quyết gần đây của Uber, có rất nhiều lo ngại trong ngành về việc gửi tiền thưởng cho lỗi trở thành nỗ lực tống tiền. “Chúng tôi nghĩ rằng chúng tôi sẽ chia sẻ một số phương pháp hay nhất để tiết lộ có trách nhiệm, được minh họa bằng một nỗ lực tống tiền (gian lận) gần đây mà chúng tôi nhận được.”
Bạn đã phát hiện ra một lỗi. Giờ thì sao?
Nếu một cá nhân phát hiện ra lỗ hổng trên bất kỳ nền tảng nào của Coinbase, Lunglhofer nhấn mạnh việc cung cấp mô tả chi tiết và chính xác về lỗi bị cáo buộc.
Ông nói: “Chúng tôi không thể đánh giá một bài nộp thiếu chi tiết.
Các chi tiết mà Lunglhofer thường tìm kiếm là những thứ như đường dẫn truy cập vào thông tin nhạy cảm hoặc tài sản tiền điện tử thực tế, cũng như dấu hiệu về thiệt hại tiềm ẩn từ lỗ hổng bảo mật.
Sau khi một cá nhân thu thập tất cả các chi tiết thích hợp, bước thứ hai là đảm bảo Coinbase có đủ thời gian để vá lỗi trước khi tiết lộ sự tồn tại của nó cho bất kỳ ai khác.
Lunglhofer cho biết: “Một nhà nghiên cứu bảo mật có trách nhiệm sẽ luôn cung cấp một khoảng thời gian hợp lý để chúng tôi phản hồi và khắc phục sự cố bảo mật trước khi tiết lộ thông tin chi tiết cho bất kỳ bên nào khác”.
Cuối cùng, Lunglhofer nhấn mạnh tầm quan trọng của việc tuân thủ luật pháp. Cố gắng tống tiền hoặc tống tiền một công ty với số tiền 450.000 đô la là tội phạm rõ ràng.
“Một bản gửi tiền thưởng lỗi không bao giờ có thể chứa các mối đe dọa hoặc bất kỳ nỗ lực tống tiền nào. Lunglhofer nói: Chúng tôi luôn sẵn sàng trả tiền thưởng cho những phát hiện hợp pháp. “Yêu cầu tiền chuộc là một vấn đề hoàn toàn khác.”
Chương trình tiền thưởng lỗi của Coinbase đã đánh dấu kỷ niệm 10 năm thành lập vào tháng trước. Chương trình đã tìm và sửa hơn 600 lỗi và trả hơn 400.000 đô la tiền thưởng chỉ riêng trong năm nay. Khoản tiền thưởng lớn nhất từ chương trình, trị giá 250.000 USD, đã được trả vào tháng 2 vừa qua cho một nhà nghiên cứu độc lập, người đã phát hiện ra lỗ hổng trong giao diện giao dịch của Coinbase.