币库 (硬币 ),美国交易量最大的加密货币交易所和第一家在美国股票市场上市的加密货币交易所,正在提高人们对其的认识错误赏金计划 在最近的勒索企图之后。
本月早些时候,一名恶意行为者通过电子邮件向 Coinbase 和 CoinDesk 发送电子邮件,声称已经从 3.06 亿个 Coinbase 用户帐户中“去除散列”和“解密”敏感数据(Coinbase 表示在数学上不可能“去除散列”或“解密”数据)。如果 Coinbase 不支付 450,000 美元,此人威胁要上市。
Coinbase 的安全团队联系了敲诈勒索者,后来证实有关违规的说法是没有根据的。 (Coinbase 证实它通常会在此类案件中与执法部门合作,但没有详细说明是否会提出指控。)
“这绝对是毫无根据的勒索企图。个人伪造信息以伪造合法信息,他们只是想从公司勒索钱财。我确信我们不是他们名单上的第一家公司,也不是他们运行的唯一一家骗局,”Coinbase 首席信息安全官 Jeff Lunglhofer 在接受采访时告诉 CoinDesk。
确实,上个月,Uber 前首席安全官乔·沙利文 (Joe Sullivan) 被判犯有两项重罪 据称在 2016 年拼车公司数据库遭到破坏后,向黑客隐瞒了 100,000 美元的敲诈勒索款项。
Uber 丑闻和最近的电子邮件事件都促使 Lunglhofer 重申了一个强大的漏洞赏金计划在新Coinbase 博客文章。 漏洞赏金是公司向发现并提醒他们系统漏洞的个人或外部安全团队的奖励。
Lunglhofer 写道:“在最近的 Uber 判决之后,业界非常担心漏洞赏金提交会成为勒索企图。” “我们认为我们会分享一些负责任的披露的最佳做法,最近我们收到的(欺诈性)勒索企图就说明了这一点。”
你发现了一个错误。怎么办?
如果个人在 Coinbase 的任何平台上发现漏洞,Lunglhofer 强调提供对所谓漏洞的详细和准确的描述。
“我们无法评估缺乏足够细节的提交,”他说。
Lunglhofer 通常寻找的细节是敏感信息或实际加密资产的访问路径,以及漏洞可能造成的损害的迹象。
一旦个人收集了所有相关细节,第二步是确保 Coinbase 在向任何其他人披露漏洞存在之前有足够的时间修补漏洞。
Lunglhofer 说:“负责任的安全研究人员总是会在向任何其他方披露详细信息之前,为我们提供合理的时间来响应和修复安全问题。”
最后,Lunglhofer 强调了保持合法性的重要性。试图以 450,000 美元勒索或勒索一家公司是公然犯罪。
“漏洞赏金提交绝不能包含威胁或任何勒索企图。我们总是愿意为合法的发现支付赏金,”Lunglhofer 说。 “赎金要求是完全不同的事情。”
Coinbase 的漏洞赏金计划上个月标志着其 10 周年。该计划已发现并修复了 600 多个错误,仅今年一年就支付了超过 400,000 美元的奖金。该计划的最大赏金是 250,000 美元,已于今年 2 月支付给一名独立研究人员,该研究人员发现了 Coinbase 交易界面中的一个漏洞。