Coinbase回应白帽黑客账户“被封”事件

2015-12-25 10:42 来源:巴比特资讯 阅读:5724
黑客给人们的印象就一个字“黑”。他们利用自己娴熟的计算机技能,打入各种各样的系统,窃取个人资料、金钱,甚至政府的秘密。

bigstock-Hacker-Typing-On-A-Laptop-44548564

黑客给人们的印象就一个字“黑”。他们利用自己娴熟的计算机技能,打入各种各样的系统,窃取个人资料、金钱,甚至政府的秘密。

不过,黑客并非都是“黑”的,有一些用自己的黑客技术来做好事的黑客们叫“白帽黑客”(又叫“白帽子”),他们与网络安全工程师的性质有点相同。大多数的普通黑客都是挂靠在安全公司,通过检测计算机系统安全性获得公司提供的奖金来谋生。

据说,“白帽子”这个词是Jarrett Ridlinghafer于1996年创造出来的,当时他在 Netscape工作,而今这成为了一个职业。Facebook(脸谱网),Yahoo!(雅虎),Google(谷歌),Reddit(红迪网)等都提供过这种奖金。

比特币钱包和平台提供商Coinbase也为帮助其检测和修复系统漏洞的“白帽子“提供各种奖金。

然而,最近围绕这个问题,却出现了一些困惑。一位名为“pxallin1122”的用户在红迪网上发帖称,他帮助Coinbase公司解决了一个重大财务漏洞,但是只得到了一笔小额奖金,更甚的是, Coinbase在没有给出明确原因的情况下关闭了他的账户。此贴在红迪网上引发了大量的关注和用户评论。

Coinbase 的安全主管Rob Witoff 也迅速加入了这个事件的讨论之中,写了一篇文章,向人们澄清了他们“白帽子赏金计划”的具体情况。

Witoff在文章中说:

“过去的两年里,Coinbase的确从白帽子赏金计划中受益匪浅,我们非常鼓励白帽子为我们和我们的合作伙伴及时找出系统存在的漏洞。”

他说:

这个计划面临的挑战之一就是我们要有效地处理大量提交上来的信息,这些信息作用不大,不符合获得奖金的资格。而最近这个事件也使我们也想要对我们白帽子赏金计划的某些方面进行一个说明。

Coinbase团队于2013年通过HackerOne平台启动了这个赏金计划,“黑客”可以加入HackerOne平台,来帮助公司提高系统安全性。

该平台每个季度都会回顾这个计划的完成结果,并透露,自计划开始以来,该公司已经支付了总额103,801美元奖金。提交上来的意见之中有9%都是与奖金猎人共同合作来解决的。

coinbase

因此针对这起事件,Witoff给出了几点原因,尤其是该用户说提交的第二次漏洞,与第一次相同,不过这一次却给Coinbase的安全团队造成了不小的挑战。

“尽管这个漏洞被清晰地描述出来,但是我们的安全团队和工程团队都无法重现或验证该漏洞,由于缺乏信息,我们发现研究人员实际上无法完成这个漏洞的修复。缺乏信息常见于所有的白帽子案例中,我们会定期研究人员合作,提供清晰的测试案例,误解就发生在这个地方。研究员称由于缺乏资金,他们无法继续执行修复任务,我们团队尝试向他们提供资金,但是该用户的账户已经被限制了。”

至于为什么会被限制呢?Witoff说:

“限制是我们的合规团队执行的,至于原因,可以在我们的用户协议中找到。此外,Coinbase从来没有,也绝不会封闭任何负责任的白帽用户的账户。自计划成立以来,我们已经向白帽研究人员支付了超过 10万美元的奖金,并打算继续运行这个赏金计划,因此封号这种行为对我们而言是没有好处的。”

但是对于该用户账户被封,Witoff说,这个是合规团队的事情,他们安全团队不负责这一块,二者是独立的,不过 Witoff 也承认他们的确也有做得不对的地方,没有及时与该用户沟通,没有及时回复该用户的请求。

编译:printemps
稿源:巴比特资讯(http://www.8btc.com/coinbase-response)


声明:此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。本网站所提供的信息,只供参考之用。

点击阅读全文