PayPal ha anunciado un programa de "caza de bugs" para investigadores de seguridad, siguiendo los pasos de Mozilla, Google y Facebook, que están ofreciendo recompensas por la revelación de sus fallas.
Michael Barrett, Jefe de Seguridad de Información de PayPal dijo que las experiencias de otras compañías han sido positivas y han disipado las dudas que él tenía con relación a pagar a investigadores por reportes de fallas. “Es una forma clara y efectiva de incrementar la atención de los investigadores de servicios de Internet y por lo tanto, encontrar más fallas potenciales”.
Específicamente se excluyen del programa de recompensas las vulnerabilidades de CSRF que obligan a autenticar al usuario en los sitios de PayPal. PayPal pide que los investigadores no se involucren en el trabajo de la negación de servicio de los sistemas de PayPal o el uso de cualquier exploit para ver los datos de otro usuario sin su autorización.
La compañía mencionó que cuando el error reportado haya sido corregido, se hará un pago a través de PayPal para el investigador. La documentación en línea no revela el alcance de los pagos, pero se cree que es, en función de la gravedad y de las excepciones particulares, entre $500 y $5, 000 USD.
PayPal probablemente espera asegurarse con este programa, de que incidentes embarazosos, como el descubrimiento de un defecto de XSS en la versión alemana de PayPal, sea informarado directamente a ellos.
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT