PayPal bestreitet Teenager-Belohnung für das finden von Website-Fehler

2014-01-08  |  Comebuy News

Ein 17 jähriger deutscher Student macht geltend, dass PayPal hat verweigert ihm eine Belohnung für eine Sicherheitslücke in ihrer Website zu finden.

Comebuy Verwandte Artikel: PayPal Sicherheitsexperten für gemeldete VulnerabilitiesGoogle Zahlen patches 14 Chrome Fehler, zahlt aufzeichnen $47K in Prämien und BonusesGoogle löst Bug Kopfgelder bis $20, 000Google erweitert den Bereich der Sicherheitsanfälligkeit Belohnung Programme decken Chrom OSMega: Bug-Bounty-Programm führte sieben Sicherheitslücken behoben bisher

Robert Kugler sagte, dass er benachrichtigt PayPal die Schwachstelle am 19. Mai. Er sagte, dass er per e-Mail informiert wurde, dass er da er unter 18 Jahre alt ist, nicht für seine Bug-Bounty-Programm qualifizieren konnte. Er schaltet 18 März nächsten Jahres.

PayPal, das Auktionshaus eBay gehört, beschreibt die allgemeinen Geschäftsbedingungen für seine Bug-Bounty-Programm auf ihrer Website, aber scheint nicht, ein Alter-Leitlinie zu haben. PayPal-Beamten haben keinen sofortigen Kommentar.

Firmen wie Google und Facebook haben Prämienprogramme. Die Programme sollen einen Anreiz für Forscher zu privat Probleme melden Anbieter Updates freigeben, bevor Hacker Schwachstellen Nutzen schaffen.

Facebook zahlt mindestens US$ 500 für Bugs, Qualifikation, während Google von $100 bis $20.000 je nach Schweregrad des Problems bezahlt. Weder hat eine Altersbegrenzung auf ihren Websites aufgeführt. Microsoft zahlt keine Schwachstelle Sicherheitsinformationen, sondern stattdessen öffentlich würdigt die Arbeit. PayPal ist nicht aufgeführt, was es ein Bug, ein Forscher bezahlen wird.

Kugler ist als Mitwirkender in einer Microsoft-Liste von April von Sicherheitsexperten aufgeführt. Er sagte, er erhielt Belohnungen für die Suche nach Schwachstellen in der Vergangenheit. Mozilla zahlte ihm US$ 1.500 für ein Problem im Firefox-Browser im vergangenen Jahr und $3.000 in diesem Jahr für einen weiteren Fehler zu finden.

PayPal verlangt, dass diese melden von Fehlern ein verifiziertes PayPal-Konto haben. Kugler sagte, fragte er PayPal, dass Bounty auf seiner Eltern-Konto gutgeschrieben.

Mindestens Kugler möchte PayPal bestätigen seine Feststellung und senden ihn einige Dokumentationen ", dass ich in einer Bewerbung verwenden können", schrieb er per e-Mail. Bisher hat nicht er nichts erhalten.

Die Einzelheiten der Schwachstelle, eine Cross-Site scripting Schwachstelle (XSS), ist auf Full Disclosure Abschnitt Seclists.org, ein Forum für die Offenlegung von Sicherheitslücken veröffentlicht.

Ein XSS-Angriff tritt auf, wenn ein Skript gezeichnet von einer anderen Web-Seite ausgeführt werden darf, aber nicht sollte. Die Art der Fehler kann verwendet werden, um Informationen zu stehlen oder anderem bösartigen Code ausführen möglicherweise verursachen.

Senden Sie News Tipps und Kommentare an jeremy_kirk@idg.com. Folge mir auf Twitter: @jeremy_kirk

« Back