Künftig will der Bezahldienst Paypal die Entdecker von Schwachstellen auf seiner Webseite im Rahmen eines Bug-Bounty-Programms mit einer Überweisung aufs Paypal-Konto belohnen. Paypal folgt damit Unternehmen wie Mozilla, Google und Facebook, die ambitionierte Sicherheitsforscher bereits seit einiger Zeit für gefundene Lücken bezahlen.

Paypal nennt im Gegensatz zu den anderen Unternehmen auf seiner Webseite nicht die Höhe der Prämien. PayPal will das Aufspüren folgender Schwachstellentypen vergüteten: Cross-Site-Scripting (XSS), Cross-Site Request Forgery (CSRF), SQL-Injection (SQLi) und Authentication bypass. Die Hauptvoraussetzung für die Teilnahme ist, dass es sich um eine bislang unbekannte Lücke handelt, die man vertraulich und exklusiv meldet.

CSRF-Lücken, durch die ein Benutzer aus seinem Paypal-Account ausgeloggt werden kann, sind ausdrücklich ausgeschlossen. Interessierte Schwachstellenforscher fordert das Unternehmen dazu auf, die Stabilität der Webseite durch die Lückensuche nicht zu gefährden und auch nicht auf die Daten anderer Nutzer zuzugreifen oder diese zu zerstören.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE