محاولة الابتزاز برقائق Coinbase ، وتعزز برنامج Bug Bounty

Coinbase (عملة ) ، وهي أكبر بورصة للعملات المشفرة في أمريكا من حيث حجم التداول وأول بورصة للعملات المشفرة يتم طرحها للاكتتاب العام في سوق الأوراق المالية الأمريكية ، تعمل على زيادة الوعي بهابرنامج bug bounty بعد محاولة ابتزاز حديثة.

قام ممثل ضار بإرسال بريد إلكتروني إلى كل من Coinbase و CoinDesk في وقت سابق من هذا الشهر ، مدعيا أنه قام "بإزالة تجزئة" و "فك تشفير" بيانات حساسة من 306 مليون حساب مستخدم Coinbase (تقول Coinbase أنه ليس من الممكن رياضيا "حذف" أو "فك تشفير" البيانات). هدد الفرد بالكشف عن الجمهور إذا لم تدفع Coinbase مبلغ 450 ألف دولار.

اتصل فريق الأمن في Coinbase بالابتزاز وأكد لاحقًا أن مزاعم الانتهاك لا أساس لها من الصحة. (أكدت Coinbase أنها تتعاون عادةً مع سلطات إنفاذ القانون في مثل هذه الحالات لكنها لم توضح ما إذا كان من الممكن توجيه الاتهامات).

هذه محاولة ابتزاز لا أساس لها على الإطلاق. يقوم الفرد بتزوير المعلومات لتظهر على أنها شرعية ويحاول فقط ابتزاز الأموال من الشركات. قال جيف لونجلهوفر ، كبير مسؤولي أمن المعلومات في Coinbase ، لـ CoinDesk في مقابلة: "أنا متأكد من أننا لسنا الشركة الأولى في قائمتهم أو عملية الاحتيال الوحيدة التي يديرونها".

في الواقع ، الشهر الماضي ،أدين كبير ضباط الأمن السابق في أوبر ، جو سوليفان ، بارتكاب جريمتين جنائيتين بدعوى التستر على دفعة ابتزاز بقيمة 100000 دولار للمتسللين بعد خرق عام 2016 لقاعدة بيانات شركة النقل.

دفعت فضيحة Uber وحادث البريد الإلكتروني الأخير Lunglhofer إلى إعادة التأكيد على أهمية برنامج مكافآت الأخطاء القوي فيوظيفة مدونة Coinbase. مكافأة الخطأ هي مكافأة تدفعها الشركات للأفراد أو فرق الأمن الخارجية التي تكتشف وتنبههم إلى نقاط الضعف في أنظمتهم.

كتب لونجلهوفر: "في أعقاب الحكم الأخير لشركة أوبر ، هناك الكثير من القلق في الصناعة بشأن تحويل مكافآت الأخطاء إلى محاولات ابتزاز". "اعتقدنا أننا سنشارك بعضًا من أفضل الممارسات للإفصاح المسؤول ، والتي توضحها محاولة ابتزاز (احتيالية) مؤخرًا تلقيناها".

لقد رصدت خطأ. ماذا الآن؟

إذا اكتشف شخص ما ثغرة أمنية على أي من منصات Coinbase ، فإن Lunglhofer يؤكد تقديم وصف مفصل ودقيق للخلل المزعوم.

"لا يمكننا تقييم تقديم يفتقر إلى التفاصيل الكافية" ، كما يقول.

التفاصيل التي يبحث عنها Lunglhofer عادةً هي أشياء مثل مسارات الوصول إلى المعلومات الحساسة أو الأصول المشفرة الفعلية ، بالإضافة إلى إشارة للضرر المحتمل من الثغرة الأمنية.

بمجرد أن يجمع الفرد كل التفاصيل ذات الصلة ، فإن الخطوة الثانية هي التأكد من أن Coinbase لديه الوقت الكافي لتصحيح الخطأ قبل الكشف عن وجوده لأي شخص آخر.

يقول لونجلهوفر: "سيوفر الباحث الأمني المسؤول دائمًا قدرًا معقولًا من الوقت لنا للرد على مشكلة أمنية وإصلاحها قبل الكشف عن التفاصيل لأي طرف آخر".

أخيرًا ، يشدد لونجلهوفر على أهمية البقاء قانونيًا. إن محاولة ابتزاز شركة أو ابتزازها مقابل 450 ألف دولار أمر إجرامي صارخ.

"لا يمكن أن يحتوي تقديم مكافأة الخطأ مطلقًا على تهديدات أو أي محاولات ابتزاز. يقول لونجلهوفر: "نحن دائمًا منفتحون على دفع المكافآت مقابل الاكتشافات المشروعة". "طلبات الفدية مسألة مختلفة تمامًا."

احتفل برنامج مكافأة الأخطاء في Coinbase بالذكرى العاشرة لتأسيسه الشهر الماضي. اكتشف البرنامج وأصلح أكثر من 600 خطأ ودفع أكثر من 400000 دولار كمكافآت هذا العام وحده. أكبر مكافأة من البرنامج ، وهي 250 ألف دولار ، تم دفعها في فبراير الماضي لباحث مستقل اكتشف ثغرة في واجهة تداول Coinbase.