17 letý student našel zranitelnost na PayPalu, ten odmítl vyplatit odměnu

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: Batou
Datum: 31.5.2013
Hodnocení/Hlasovalo: 0/0

Robert Kugler, sedmnáctiletý německý student našel XSS na stránkách PayPalu. Bugem chtěl přispět do jejich tzv. Bug Bounty Program (https://www.paypal.com/us/webapps/mpp/security/reporting-security-issues). Odpověď PayPalu ho však překvapila - chybu již někdo nalezl a navíc se prý díky nízkému věku nemůže do programu zapojit. Vypadá to, že si chtějí znepřátelit bezpečnostní talent. To se jim opravdu nemusí vyplatit a vypadá to, že se jim to opravdu povedlo. Kugler totiž veřejně odhalil onen bug a podle jeho slov to „není nejlepší nápad šetřit na odměnách, když se snažíte o motivaci bezpečnostních expertů.“ Konkrétněji se zranitelnost týkala vyhledávacího políčka a jak je pro XSS typické, zneužití bylo možné pomocí JavaScriptu. Jeden z důvodů, proč nechtějí vyplatit odměnu, se zdá být zvláštní - nikde na jejich webu o žádné věkové hranici neinformují. U ostatních firem je naopak celkem běžné, že takto mladí hackeři dostávájí zaplaceno - Mozilla dokonce vyplatila 3 000 dolarů 12 letému chlapci za nalezení chyby v paměti běžícího Firefoxu. (http://www.mercurynews.com/san-jose-neighborhoods/ci_16401891). Myslím, že to poslední co by měly firmy chtít je odrazovat mladé talenty od slušného jednání a touhy po vědění. Více případů mladých hackerů a informací v odkazovaném článku. Kompletní informace o této zranitelnosti zde http://seclists.org/fulldisclosure/2013/May/163 .