Источник: HotSpot
Значительный рост цены биткоина очень помог бирже из Сан-Франциско Coinbase, он привёл к увеличению дохода от комиссий и потоку новых клиентов. Однако появился один недостаток: потери от возможного взлома стали выше, чем когда-либо раньше.
Теперь, когда цена биткоина превышает $6000, любой кибермошенник, сумевший прорвать цифровую защиту Coinbase, будет, ограбив счета клиентов, выглядеть как современный Джесси Джеймс. Это одна из причин, по которой Coinbase решила увеличить вознаграждение, которые выплачивает в рамках программы по поиску багов — системы, которая вознаграждает хакеров за раскрытие компьютерных уязвимостей в частном порядке, что, в свою очередь, позволяет компаниям исправлять ошибки до того, как плохие парни смогут ими воспользоваться.
К таким программам компании обычно относились спорно, главным образом, потому что опасались навлечь на себя кибератаки. Но после того как технологические фирмы, такие как Google и Facebook, доказали эффективность программ по поиску багов, всё большее число других организаций последовало их примеру, в том числе более традиционные фирмы, такие как GM, и, начиная с прошлого года, министерство обороны.
В случае Coinbase, биржа цифровой валюты повысила верхнюю планку вознаграждения до $50 000 за критические уязвимости, а также увеличила вознаграждение за более незначительные баги.
По словам главы безопасности Coinbase Филиппа Мартина (Philip Martin), за последние несколько лет по этой программе компания выплатила $176 031 в общей сложности 223 исследователям.
Выступая на конференции в Сан-Франциско, организованной фирмой HackerOne, Мартин также объяснил, что эти программы работают только в том случае, если у компании остальная часть системы безопасности в полном порядке.
«Программы по поиску уязвимостей эффективны только в том случае, если у вас есть хороший внутренний процесс отчётности. Если он будет плох [отчёты об уязвимостях будут игнорироваться], то вы разозлите хакеров», — сказал он.
Мартин также объяснил, что неплохая программа по поиску багов генерирует много шума: только 11% всех отчётов, которые получает Coinbase, являются в самом деле уязвимостями.
Он добавил, что Coinbase, как и другие компании, продолжает получать электронные письма от подозрительных людей, которые утверждают, что обнаружили уязвимость, а раскроют её только в обмен на несколько биткоинов.
«Мы рассматриваем это как попытку вымогательства и игнорируем», — сказал Мартин.
Мартин также обнародовал, что Coinbase ещё не выплачивала самое большое вознаграждение, отчасти потому, что, как он сказал, «у нас не отстойная безопасность».
Однако защита кода на сайте — лишь одна из проблем таких сайтов, как Coinbase. Как сообщил мой коллега Джен Векцнер (Jen Wieczner), Coinbase сталкивается с ошеломляющим количеством мошенничества: клиентов часто обманным путём вынуждают раскрыть пароль, а затем грабят их аккаунты.
Тем не менее для таких компаний, как Coinbase, программы по поиску уязвимостей, по-видимому, являются неотъемлемой технической частью системы защиты.
Самые актуальные новости - в 
