Coinbase迴應白帽黑客賬戶“被封”事…

黑客給人們的印象就一個字“黑”。他們利用自己嫻熟的計算機技能，打入各種各樣的系統，竊取個人資料、金錢，甚至政府的祕密。

不過，黑客並非都是“黑”的，有一些用自己的黑客技術來做好事的黑客們叫“白帽黑客”（又叫“白帽子”），他們與網路安全工程師的性質有點相同。大多數的普通黑客都是掛靠在安全公司，通過檢測計算機系統安全性獲得公司提供的獎金來謀生。

據說，“白帽子”這個詞是Jarrett Ridlinghafer於1996年創造出來的，當時他在 Netscape工作，而今這成為了一個職業。Facebook（臉譜網），Yahoo!（雅虎），Google（谷歌），Reddit（紅迪網）等都提供過這種獎金。

比特幣錢包和平臺提供商Coinbase也為幫助其檢測和修復系統漏洞的“白帽子“提供各種獎金。

然而，最近圍繞這個問題，卻出現了一些困惑。一位名為“pxallin1122”的使用者在紅迪網上發帖稱，他幫助Coinbase公司解決了一個重大財務漏洞，但是隻得到了一筆小額獎金，更甚的是， Coinbase在沒有給出明確原因的情況下關閉了他的賬戶。此貼在紅迪網上引發了大量的關注和使用者評論。

Coinbase 的安全主管Rob Witoff 也迅速加入了這個事件的討論之中，寫了一篇文章，向人們澄清了他們“白帽子賞金計劃”的具體情況。

Witoff在文章中說：

“過去的兩年裡，Coinbase的確從白帽子賞金計劃中受益匪淺，我們非常鼓勵白帽子為我們和我們的合作伙伴及時找出系統存在的漏洞。”
他說：

這個計劃面臨的挑戰之一就是我們要有效地處理大量提交上來的資訊，這些資訊作用不大，不符合獲得獎金的資格。而最近這個事件也使我們也想要對我們白帽子賞金計劃的某些方面進行一個說明。
Coinbase團隊於2013年通過HackerOne平臺啟動了這個賞金計劃，“黑客”可以加入HackerOne平臺，來幫助公司提高系統安全性。

該平臺每個季度都會回顧這個計劃的完成結果，並透露，自計劃開始以來，該公司已經支付了總額103，801美元獎金。提交上來的意見之中有9%都是與獎金獵人共同合作來解決的。

coinbase

因此針對這起事件，Witoff給出了幾點原因，尤其是該使用者說提交的第二次漏洞，與第一次相同，不過這一次卻給Coinbase的安全團隊造成了不小的挑戰。

“儘管這個漏洞被清晰地描述出來，但是我們的安全團隊和工程團隊都無法重現或驗證該漏洞，由於缺乏資訊，我們發現研究人員實際上無法完成這個漏洞的修復。缺乏資訊常見於所有的白帽子案例中，我們會定期研究人員合作，提供清晰的測試案例，誤解就發生在這個地方。研究員稱由於缺乏資金，他們無法繼續執行修復任務，我們團隊嘗試向他們提供資金，但是該使用者的賬戶已經被限制了。”
至於為什麼會被限制呢？Witoff說：

“限制是我們的合規團隊執行的，至於原因，可以在我們的使用者協議中找到。此外，Coinbase從來沒有，也絕不會封閉任何負責任的白帽使用者的賬戶。自計劃成立以來，我們已經向白帽研究人員支付了超過 10萬美元的獎金，並打算繼續執行這個賞金計劃，因此封號這種行為對我們而言是沒有好處的。”
但是對於該使用者賬戶被封，Witoff說，這個是合規團隊的事情，他們安全團隊不負責這一塊，二者是獨立的，不過 Witoff 也承認他們的確也有做得不對的地方，沒有及時與該使用者溝通，沒有及時回覆該使用者的請求。