Coinbase Klarifikasi Kebijakan Bug Bounty

Dalam posting blog pada 30 November, Coinbase berusaha mengklarifikasi kebijakan program bug bounty sebagai tanggapan atas putusan pelanggaran data Uber baru-baru ini.

Perusahaan menyatakan bahwa mereka masih menerima pengungkapan masalah keamanan yang “bertanggung jawab”, tetapi pengguna yang menyalahgunakan proses ini tidak akan diberikan bug bounty:

“Kata kunci dari semua ini adalah ‘bertanggung jawab’. Setelah vonis Uber baru-baru ini, ada banyak kekhawatiran di industri tentang pengiriman bug bounty menjadi upaya pemerasan. Di Coinbase, […] kami telah banyak memikirkan bagaimana kami mengoperasikan program bug bounty kami untuk tetap berada di sisi kanan hukum.”

Putusan yang dirujuk Coinbase dikeluarkan pada 5 Oktober. Joe Sullivan, mantan kepala keamanan Uber, dinyatakan bersalah karena berkolusi dengan penyerang untuk menutupi bukti pelanggaran data, menurut sebuah laporan oleh Washington Post.

Sullivan awalnya mengklaim bahwa penyerang telah mengirimkan pelanggaran sebagai bug bounty dan bahwa perusahaan telah membayar mereka sebagai hadiah bug bounty.

Perusahaan teknologi sering menggunakan hadiah bug untuk mendorong peretas topi putih menemukan kerentanan keamanan dan melaporkannya. Tetapi putusan Sullivan telah menimbulkan pertanyaan tentang seberapa jauh program bug bounty dapat memberikan hadiah kepada peretas tanpa melanggar hukum itu sendiri.

Dalam postingannya, Coinbase menyatakan telah menemukan beberapa peserta bug bounty yang mengklaim telah melakukan tindakan kriminal yang akan mencegah perusahaan untuk dapat melakukan pembayaran secara legal.

Misalnya, seorang peserta mengirimkan beberapa email ke tim yang mengatakan bahwa mereka memiliki “306 juta data pengguna yang sepenuhnya dipisahkan” dan “melewati” untuk melewati masa tunggu 48 jam di perangkat baru.

Menurut Coinbase, jika orang ini memiliki informasi seperti itu, itu berarti mereka mengakses data pelanggan di luar apa yang dapat dianggap sebagai “niat baik” atau “kebetulan”. Dalam kasus seperti itu, Coinbase tidak akan mampu membayar hadiahnya.

Dalam kasus khusus ini, Coinbase mengatakan mereka percaya bahwa peserta membuat klaim palsu. Peserta tidak memberikan informasi apa pun yang memungkinkan klaim diverifikasi, sehingga tim mengabaikan permintaan hadiah.

Tetapi bahkan jika orang yang membuat klaim itu mengatakan yang sebenarnya, adalah ilegal untuk membayar hadiah kepada mereka.

Coinbase juga menekankan bahwa ancaman atau upaya pemerasan lainnya tidak akan menghasilkan pembayaran bug bounty:

“Yang paling penting dari semuanya, pengiriman bug bounty tidak akan pernah mengandung ancaman atau upaya pemerasan apa pun. Kami selalu terbuka untuk membayar hadiah untuk temuan yang sah. Tuntutan tebusan adalah masalah yang sama sekali berbeda.”