Un joven escolar alemán de 17 años llamado Robert Kugler encontró una vulnerabilidad en el sitio web de PayPal relacionado con el proceso de pagos del servicio, donde atacantes podrían explotar un agujero de seguridad XSS (secuencias de comandos en sitios cruzados) para, entre otras cosas, robar credenciales de acceso al portal.
Ya que la empresa cuenta con un programa que entrega recompensas a los usuarios que encuentran bugs en su sitio (llamado Bug Bounty Program), Kugler postuló al premio como ya lo había hecho numerosas veces antes con otras grandes empresas de tecnología.
Sin embargo, Kugler se encontró con que PayPal solo estaba dispuesto a pagarles a los participantes que tuvieran más de 18 años pese a que no está especificado en los términos de programa (el argumento es que la empresa le pide a los que reportan errores que tengan una cuenta en PayPal).
Ante su frustración, Kugler decidió publicar la vulnerabilidad en Internet a través del sitio web Seclists.org, un foro dedicado a compartir agujeros de seguridad, con la declaración de que “no quiero reclamarle a PayPal acerca de sus métodos para ahorrar en su programa de recompensas, pero no es una buena idea cuando estás interesado en motivar a los investigadores de seguridad“.
Anteriormente, Kugler ha encontrado fallas de seguridad en Microsoft (por el cual ha sido acreditado públicamente), como también en Firefox, donde Mozilla le ha pagado en total unos US$ 4.500 este último año por detectar dos bugs en el navegador. Según el adolescente, lo mínimo que PayPal pudo haber hecho fue darle los créditos por el descubrimiento “para así utilizarlo en mi currículum“.
Links:
–PayPal vulnerable to cross-site scripting again (The H)
–PayPal denies teenager reward for finding website bug (IT World)
