Coinbase、ホワイトハットハッカーのアカウント「ブロック」事件に対応

ハッカーが人々に与える印象は、ただ一言、「ブラック」です。彼らは高度なコンピュータースキルを駆使してさまざまなシステムに侵入し、個人情報、金銭、さらには政府の機密情報を盗みます。

しかし、すべてのハッカーが「黒人」というわけではありません。ハッキングスキルを善行に利用するハッカーは、「ホワイトハットハッカー」（「ホワイトハット」とも呼ばれる）と呼ばれます。彼らは、本質的にはネットワーク セキュリティ エンジニアに似ています。一般的なハッカーのほとんどはセキュリティ企業に所属しており、コンピュータシステムのセキュリティをテストし、企業からボーナスを受け取ることで生計を立てています。

「ホワイトハット」という用語は、1996 年に Jarrett Ridlinghafer 氏が Netscape で働いていたときに作った言葉だと言われており、現在では職業として定着しています。 Facebook、Yahoo!、Google、Reddit などがこのタイプのボーナスを提供しています。

ビットコインウォレットおよびプラットフォームプロバイダーのCoinbaseは、システムの脆弱性の検出と修正に協力する「ホワイトハット」研究者にさまざまなボーナスも提供しています。

しかし、最近この問題に関して混乱が生じています。 「pxallin1122」というユーザーは、Coinbaseが大きな金融の抜け穴を解決するのを手伝ったが、わずかなボーナスしか受け取らなかったとRedditに投稿した。さらに悪いことに、Coinbaseは明確な理由を示さずに彼のアカウントを閉鎖した。この投稿はRedditで多くの注目を集め、ユーザーからのコメントも寄せられました。

Coinbase のセキュリティ責任者である Rob Witoff 氏は、この事件に関する議論にすぐに参加し、「ホワイトハット報奨金プログラム」の詳細を明らかにする記事を執筆しました。

ウィトフ氏は記事の中でこう述べている。

「Coinbaseは過去2年間、ホワイトハット報奨金プログラムから大きな恩恵を受けており、ホワイトハットが当社とパートナーのためにタイムリーにシステムの脆弱性を発見することを強く推奨しています。」

彼はこう言った。

このプログラムの課題の 1 つは、役に立たず、したがって助成金の対象にならない大量の提出物を効率的に処理する必要があることです。この最近の事件をきっかけに、私たちはホワイトハット報奨金プログラムの特定の側面を明らかにすることにしました。

Coinbase チームは 2013 年に HackerOne プラットフォームを通じてこの報奨金プログラムを開始しました。「ハッカー」は HackerOne プラットフォームに参加して、同社のシステム セキュリティの向上に協力できます。

同プラットフォームは四半期ごとにプログラムの完了結果をレビューしており、プログラム開始以来、合計103,801ドルのボーナスを支払ったことを明らかにした。提出された問題の 9% は賞金稼ぎとの協力により解決されました。

そのため、ウィトフ氏はこの事件についていくつかの理由を挙げ、特にユーザーが報告した2番目の脆弱性は最初のものと同じだったが、今回はCoinbaseのセキュリティチームにとってかなりの課題をもたらしたと述べた。

「脆弱性は明確に説明されていたものの、当社のセキュリティチームもエンジニアリングチームもそれを再現または検証することができませんでした。情報不足のため、研究者は実際にはこの脆弱性の修正を完了できなかったことがわかりました。情報不足は、すべてのホワイトハットケースで共通しています。当社は、明確なテストケースを提供するために、定期的に研究者と協力しています。ここで誤解が生じました。研究者は、資金不足のため修正タスクを続行できないと述べました。当社のチームは彼らに資金を提供しようとしましたが、ユーザーのアカウントは制限されていました。」

なぜ制限されているのでしょうか？ウィトフ氏はこう語った。

「制限は、当社のコンプライアンス チームによって、ユーザー契約に記載されている理由に基づいて実施されます。また、Coinbase は、責任あるホワイト ハット ユーザーのアカウントをブロックしたことはなく、今後もブロックすることはありません。プログラム開始以来、当社はホワイト ハット リサーチャーに 10 万ドルを超える報奨金を支払っており、報奨金プログラムを継続して運営していくつもりであるため、アカウントをブロックすることは当社の利益にはなりません。」

しかし、ユーザーのアカウントのブロックに関しては、これはコンプライアンスチームの責任だとウィトフ氏は述べた。彼らのセキュリティチームはこれに責任がなく、2人は独立していました。しかし、ウィトフ氏は、ユーザーと適時にコミュニケーションをとらなかったり、ユーザーの要求に適時に応答しなかったりするなど、不正行為を行ったことも認めた。

編集：プランタン
出典: バビット情報 (http://www.8btc.com/coinbase-response)