Coinbase (COIN), la mayor bolsa de criptomonedas de Estados Unidos por volumen de operaciones y la primera en cotizar en un mercado de valores estadounidense, está dando a conocer su programa de recompensas por errores tras un reciente intento de extorsión.
A principios de este mes, un actor malintencionado envió un correo electrónico a Coinbase y a CoinDesk, afirmando que había «descifrado» y «desencriptado« datos sensibles de 306 millones de cuentas de usuarios de Coinbase (Coinbase dice que no es matemáticamente posible hacer eso).
El individuo amenazó con hacerlo público si Coinbase no desembolsaba 450.000 dólares.
Afirmaciones infundadas
El equipo de seguridad de Coinbase se puso en contacto con el extorsionador y más tarde confirmó que las afirmaciones sobre una brecha eran infundadas. (Coinbase confirmó que suele colaborar con las fuerzas del orden en estos casos, pero no dio detalles sobre si se podrían presentar cargos).
Jeff Lunglhofer, director de seguridad de la información en Coinbase, dijo:
«Se trata de un intento de extorsión absolutamente infundado. El individuo está falsificando la información para hacerse pasar por legítimo, y sólo está tratando de extorsionar a las empresas. Estoy seguro de que no somos la primera empresa en su lista o la única estafa que tienen en marcha»
Uber, el antecedente
El mes pasado, el ex jefe de seguridad de Uber, Joe Sullivan, fue condenado por dos delitos graves por supuestamente encubrir un pago de extorsión de 100.000 dólares a los hackers después de una violación de 2016 de la base de datos de la firma de viajes compartidos.
Tanto el escándalo de Uber como el reciente incidente del correo electrónico llevaron a Lunglhofer a reiterar la importancia de un sólido bug bounty en una nueva publicación del blog de Coinbase.
Un bug bounty es un programa de recompensas que las empresas pagan a los individuos o a los equipos de seguridad externos que descubren y alertan de los errores y vulnerabilidades de sus sistemas.
«A raíz del reciente veredicto de Uber, hay mucha preocupación en la industria sobre las presentaciones de recompensas por errores que se convierten en intentos de extorsión», escribió Lunglhofer. «Hemos pensado en compartir algunas de las mejores prácticas para la divulgación responsable, ilustradas por un reciente intento de extorsión (fraudulento) que recibimos».
Detectaste un fallo. ¿Y ahora qué?
Si un individuo descubre una vulnerabilidad en cualquiera de las plataformas de Coinbase, Lunglhofer hace hincapié en proporcionar una descripción detallada y precisa del supuesto fallo.
«No podemos evaluar una presentación que carezca de suficientes detalles», afirma.
Los detalles que Lunglhofer suele buscar son cosas como rutas de acceso a información sensible o a criptoactivos reales, así como una indicación del daño potencial de la vulnerabilidad.
Una vez que una persona recopila todos los detalles pertinentes, el segundo paso es asegurarse de que Coinbase tiene tiempo suficiente para parchear el fallo antes de revelar su existencia a cualquier otra persona.
«Un investigador de seguridad responsable siempre dará un tiempo razonable para que respondamos y solucionemos un problema de seguridad antes de revelar los detalles a cualquier otra parte», afirma Lunglhofer.
Siempre dentro de lo legal
Lunglhofer subraya la importancia de permanecer en la legalidad. Intentar extorsionar o chantajear a una empresa por 450.000 dólares es un delito flagrante.
«Una propuesta de bug bounty nunca puede contener amenazas ni intentos de extorsión. Siempre estamos abiertos a pagar recompensas por hallazgos legítimos«, dice Lunglhofer. «Las peticiones de rescate son un asunto completamente diferente».
El programa de recompensas por errores de Coinbase cumplió 10 años el mes pasado. Asimismo, ha encontrado y corregido más de 600 fallos y ha pagado más de 400.000 dólares en recompensas sólo este año.
La mayor recompensa del programa, 250.000 dólares, se pagó el pasado mes de febrero a un investigador independiente que descubrió una vulnerabilidad en la interfaz de negociación de Coinbase.