viernes, 31 de mayo de 2013

PayPal se niega a pagar a joven por identificar vulnerabilidad

PayPal se niega a pagar a Robert Kugler, un estudiante alemán de 17 años que afirma haber sido el primero en encontrar una vulnerabilidad de tipo XXS (cross-site scripting) en uno de los sitios pertenecientes a PayPal.
El joven, que destaca por sus conocimientos en informática según el sitio Naked Security, dio a conocer el fallo a la compañía a través del programa conocido como Bug Bounty, que insta a los investigadores de seguridad profesionales a dar aviso a PayPal en caso de identificar errores en las plataformas de la firma a cambio de una recompensa una vez que el error se corrija.
El programa de recompensas de errores está sujeto a cambios o cancelación en cualquier momento sin previo aviso. Las compensaciones son válidas solo para sitios web de la empresa y el pago se abonará en una cuenta PayPal una vez que el error se corrija”, señala una de las cláusulas en la página oficial de Investigaciones de Seguridad de PayPal.
Sin embargo, el corporativo comunicó al adolescente que ya había identificado el  defecto y dijo que era demasiado joven para participar en el programa. Ante la decisión de la empresa, Kugler decidió revelar públicamente el error a pesar de que dicha acción es considerada como “irresponsable” en la industria de la seguridad cibernética.
PayPal envió un correo electrónico al semanario TechWeek afirmando “apreciamos la contribución del señor Kugler en Bug Bunty de PayPal pero la vulnerabilidad cross-scripting ya había sido descubierta por otro investigador de seguridad. Además, él no puede participar ya que es menor de 18 años”.
No obstante, la empresa de comercio electrónico no especifica en los requisitos del programa un límite de edad.
Otras compañías como Mozilla han pagado hasta $3,000 dólares a otros chicos, incluso más jóvenes que Kugler, por haber encontrado un defecto en la memoria del navegador Firefox.
El XSS es un agujero de seguridad basado en la explotación de vulnerabilidades del sistema de validación de HTML incrustado. Este tipo de inconsistencias pueden causar múltiples daños si son identificadas por hackers tal como sucedió en Twitter con Mouseover y los riegos que corrieron las cuentas de Yahoo! por una vulnerabilidad en el blog Yahoo! Developer Natwork.

Fuente: bsecure.com.mx