PayPal ha anunciado un programa de "caza de bugs" para investigadores de seguridad, siguiendo los pasos de Mozilla, Google y Facebook, que están ofreciendo recompensas por la revelación de sus fallas.
Michael Barrett, Jefe de Seguridad de Información de PayPal dijo que las experiencias de otras compañías han sido positivas y han disipado las dudas que él tenía con relación a pagar a investigadores por reportes de fallas. “Es una forma clara y efectiva de incrementar la atención de los investigadores de servicios de Internet y por lo tanto, encontrar más fallas potenciales”.
El nuevo programa se basa en el anterior programa de notificación de errores no remunerado de PayPal. De acuerdo con la página For security researches (Para investigadores de seguridad), PayPal aceptará los informes de errores, los examinará y clasificará.
Las vulnerabilidades que se incluyen son: Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), SQL Injection (SQLi) y los saltos de autenticación.
Específicamente se excluyen del programa de recompensas las vulnerabilidades de CSRF que obligan a autenticar al usuario en los sitios de PayPal. PayPal pide que los investigadores no se involucren en el trabajo de la negación de servicio de los sistemas de PayPal o el uso de cualquier exploit para ver los datos de otro usuario sin su autorización.
La compañía mencionó que cuando el error reportado haya sido corregido, se hará un pago a través de PayPal para el investigador. La documentación en línea no revela el alcance de los pagos, pero se cree que es, en función de la gravedad y de las excepciones particulares, entre $500 y $5, 000 USD.
PayPal probablemente espera asegurarse con este programa, de que incidentes embarazosos, como el descubrimiento de un defecto de XSS en la versión alemana de PayPal, sea informarado directamente a ellos.
0 comentarios:
Publicar un comentario