PayPal: Programa de Recompensa para Detecção de Falhas de Segurança

Seguindo o exemplo do Google, do Facebook e da Mozilla, o PayPal já anunciou que vai oferecer uma recompensa em dinheiro para aqueles que informarem sobre a existência de falhas de segurança em seu site (www.paypal.com). De acordo com o CISO do Paypal, Michael Barrett, "é um privilégio poder liderar uma empresa de segurança renomada mundialmente, mas é claro que todo o trabalho realizado, é proveniente do empenho de toda uma equipe, pois grandes feitos assim não poderiam ser realizados por uma única pessoa".

Sendo assim, para esta finalidade o PayPal foi uma das primeiras empresas a implementar um processo de relatório de bug para pesquisadores de segurança externos. Originalmente, haviam reservas quanto à idéia de pagar os pesquisadores para relatórios de bugs, mas, de acordo com declarações de Barrett, ele está muito feliz em admitir que os dados tenham mostrado que ele estava errado, pois o programa de recompensas é, claramente, uma forma eficaz de aumentar a atenção dos pesquisadores referente à serviços baseados na Internet e, portanto, encontrar questões de alto potencial e que precisam ser imediatamente resolvidas.




O PayPal está procurando relatórios sobre vulnerabilidades XSS (Cross Site Scripting), CSRF (Cross-Site Request Forgery), injeção de SQL e vulnerabilidades que são ignoradas no ato da autenticação, mas ainda não especificou o valor exato dessas recompensas. Para ser elegível para o prêmio, eles são obrigados a compartilhar o problema de segurança com PayPal antes de torná-lo público, fornecerem informações completas sobre a questão da segurança, e permitir que a empresa em tempo razoável, possa responder à questão antes de divulgá-la publicamente.


Saiba Mais:

[1] PayPal "Bug Bounty" Program for Security Researchers https://www.thepaypalblog.com/2012/0...ounty-program/