Клиент криптобиржи Poloniex «наказал» ее за нерасторопность
Artem DЭта история началась, когда один из пользователей криптовалютной биржи Poloniex обнаружил в ее системе безопасности технический баг. Чтобы удостовериться в ее существовании, он осуществил компрометацию системы.
«Я смог вывести криптовалюту со счета без доступа к двухфакторной идентификации, как для логина, так и для подтверждения вывода средств. Я снял их со счета, воспользовавшись паролем из слитой базы данных».
По результатам проведенной самостоятельной проверки он направил письмо о выявленной ошибке в службу поддержки. Рассказ о том, как удалось обойти двухфакторную идентификацию при выводе средств с биржевого счета, был также опубликован на портале Reddit.
Спустя 60 дней автор письма так и не дождался ответа от Poloniex о реакции на обнаруженный баг. «Я предполагаю, что они никак не заинтересованы в его починке и делают это намеренно».
Помимо этого, при обсуждении поста в Reddit он получил несколько сообщений от других пользователей, которым тоже удавалось обнаружить баги, но которые дождались ответа от службы поддержки. Им ответили, что рассчитывать на какое-либо вознаграждение за обнаружение уязвимости им нет смысла, потому что они «воспользовались» ей для того, чтобы доказать ее наличие. Поэтому биржа может предъявить им судебный иск, вместо того, чтобы платить вознаграждение.
Поэтому автор решил продать информацию об уязвимости.
Как он заверил в своем посте, средства, полученные от продажи, будут направлены на благотворительность и поддержку сообщества разработчиков. «20% будут пожертвованы на проекты с открытым исходным кодом, 75% будут переданы в благотворительный фонд, принимающий биткоины», Оставшиеся 5% пользователь оставил себе как вознаграждение за проделанную работу.