Mewn post blog ar 30 Tachwedd, ceisiodd Coinbase egluro ei bolisïau rhaglen byg bounty mewn ymateb i ddyfarniad torri data diweddar Uber.
Dywedodd y cwmni ei fod yn dal i groesawu datgeliad “cyfrifol” o faterion diogelwch, ond ni fydd defnyddwyr sy'n cam-drin y broses hon yn cael gwobrau bygiau:
“Y gair allweddol yn hyn oll yw 'cyfrifol.' Yn sgil dyfarniad diweddar Uber, mae llawer o bryder yn y diwydiant bod cyflwyniadau byg bounty yn dod yn ymdrechion cribddeiliaeth. Yn Coinbase, […] rydym wedi rhoi llawer o ystyriaeth i sut rydym yn gweithredu ein rhaglen bounty byg i aros ar ochr iawn y gyfraith.”
Cyhoeddwyd y dyfarniad yr oedd Coinbase yn cyfeirio ato ar Hydref 5. Cafwyd Joe Sullivan, cyn bennaeth diogelwch Uber, yn euog o gydgynllwynio ag ymosodwyr i guddio tystiolaeth o dorri data, yn ôl adroddiad gan y Washington Post. Yn wreiddiol, roedd Sullivan wedi honni bod yr ymosodwyr wedi cyflwyno'r toriad fel bounty byg a bod y cwmni wedi eu talu fel gwobr bounty byg.
Mae cwmnïau technoleg yn aml yn defnyddio bounties byg i annog hacwyr hetiau gwyn i ddod o hyd i wendidau diogelwch a rhoi gwybod amdanynt. Ond, mae dyfarniad Sullivan wedi codi cwestiwn ynghylch pa mor bell y gall rhaglen bounty byg fynd wrth ddyfarnu gwobrau i hacwyr heb fynd yn groes i'r gyfraith ei hun.
Yn ei swydd, dywedodd Coinbase ei fod wedi dod ar draws rhai cyfranogwyr bounty byg sy'n honni eu bod wedi cyflawni camau troseddol a fyddai'n atal y cwmni rhag gallu gwneud taliad yn gyfreithlon.
Er enghraifft, cyflwynodd cyfranogwr nifer o e-byst i’r tîm yn dweud bod ganddynt “ddata 306 miliwn o ddefnyddwyr wedi’i ddadelfennu’n llawn” a “ffordd osgoi” i hepgor y cyfnod aros o 48 awr ar ddyfeisiau newydd. Yn ôl Coinbase, pe bai gan y person hwn wybodaeth o'r fath, byddai'n golygu ei fod yn cyrchu data cwsmeriaid y tu hwnt i'r hyn y gellid ei ystyried yn “ddidwyll” neu'n “ddamweiniol.” Mewn achos o'r fath, ni fyddai Coinbase yn gallu talu'r bounty.
Yn yr achos penodol hwn, dywedodd Coinbase eu bod yn credu bod y cyfranogwr yn gwneud hawliad ffug. Ni ddarparodd y cyfranogwr unrhyw wybodaeth a fyddai'n caniatáu i'r hawliad gael ei ddilysu, felly anwybyddodd y tîm y cais am bounty. Ond hyd yn oed pe bai'r person sy'n gwneud yr hawliad wedi bod yn dweud y gwir, byddai wedi bod yn anghyfreithlon talu'r wobr iddynt.
Pwysleisiodd Coinbase hefyd na fydd bygythiadau neu ymdrechion cribddeiliaeth eraill yn arwain at daliad bounty byg:
“Yn bwysicaf oll - ni all cyflwyniad byg bounty byth gynnwys bygythiadau nac unrhyw ymgais i gribddeiliaeth. Rydym bob amser yn agored i dalu bounties am ganfyddiadau dilys. Mae gofynion pridwerth yn fater hollol wahanol.”
Mae'r arfer o dalu bounties bygiau weithiau'n ddadleuol. Dywed beirniaid y gall annog ymddygiad maleisus, tra bod cefnogwyr yn dweud ei fod yn aml yn caniatáu i wendidau gael eu darganfod yn ddiogel. Ar Hydref 19, bu ymosodwr yn draenio Marchnad Moola cyllid datganoledig (DeFi) ap gwerth $9 miliwn o arian cyfred digidol. Ond pan fydd y datblygwr yn cynnig i gadewch i'r ymosodwr gadw $500,000 fel bounty byg, dychwelodd yr ymosodwr y $8.5 miliwn arall.
Digwyddodd ymosodiad tebyg ar y gyfnewidfa ddatganoledig, KyberSwap, ym mis Medi. Yn yr achos hwn, fe wnaeth yr ymosodwyr ddwyn $ 265,000, a'r datblygwyr cynnig gadael iddynt gadw 15% o'r arian pe byddent yn dychwelyd y gweddill. Amau yn yr achos eu hadnabod yn ddiweddarach, ond nid yw'r arian wedi'i ddychwelyd, ac mae'n ymddangos bod y hacwyr yn dal i fod yn gyffredinol.
Ffynhonnell: https://cointelegraph.com/news/coinbase-clarifies-bug-bounty-policy-in-response-to-uber-extortion-verdict