22:39
24/6/2012

Michael Barrett, Chief Information Security Officer PayPala, poinformował o otwarciu programu bug bounty. PayPal postanowił dołączyć do Facebooka, Mozilli oraz Google i płacić osobom, które znajdą i odpowiedzialnie poinformują firmę o błędzie bezpieczeństwa.

Bug bounty: dlaczego warto?

Michael przyznał, że nigdy nie był zwolennikiem płacenia hackerom za znalezione podatności, ale obserwacje wyników podobnych programów w innych firmach zmieniły jego zdanie:

” (…) we realize that no company can do it all alone.”

BUG

Jak wygląda to w PayPalu?

Cały proces zgłaszania błędu polega na 4 krokach (szerzej opisanych tutaj):

    1) Wysłanie błędu na sitesecurity@paypal.com (mail musi być zaszyfrowany kluczem publicznym PGP PayPal)
    2) Zgłoszenie zostaje zakwalifikowane do jednej z czterech kategorii (póki co nic nie wiadomo o innych): XSS, CSRF, SQL Injection, Authentication Bypass
    3) PayPal ocenia jak bardzo podatność była krytyczna, tworzy patch ją usuwający i wdraża go w swoim środowisku.
    4) Zgłaszający otrzymuje zapłatę… oczywiście za pomocą konta w PayPal

Niestety póki co brak informacji, ile można na zgłaszaniu błędów zarobić. PayPal w przeciwieństwie do konkurencji w ogóle nie mówi o cenie za bug. Wiadomo, że błędy mają dotyczyć samej strony www.paypal.com i spełniać kryteria dot. “responsible disclosure”. Trzeba np. dać PayPalowi odpowiedni dużo czasu na reakcję (nie ma żadnych informacji jaki dokładnie ma to być czas).

Dodatkowo podczas poszukiwania podatności hackerzy nie mogą: DoS-ować systemu PayPal ani uzyskać dostępu/zmodyfikować danych innych użytkowników (bez ich zgody).

Przeczytaj także:



17 komentarzy

Dodaj komentarz
  1. PayPal to nie jest przykład firmy godnej zaufania.

    • Zgadza się. Najpierw wypłacą ci “bounty” a zaraz potem zawieszą twoje konto czyli tzw. “Limited Access”. :)

    • Tak. Wielokrotnie slyszalem o problemach z PayPalem i o wscibskosciach z ich strony. Kumpel w Stanach chcial przelac pieniadze z konta PayPalowskiego (wplywaja tam “donations” dla jego projektu) na konto siostry ktora na spolke z nim opiekuje sie projektem (ksiegowosc, oplaty za domeny itp). 3 razy do niego dzwonili i pytali czemu przelewa pieniadze na konto tej osoby… Opozniali przelew tak dlugo ze powiedzial im zeby sobie kase w d… wsadzili i zamknal konto. Teraz chyba uzywa BigBrother Checkout… Nie jestem pewien. PayPal Sucks…

      Pozdrawiam.

      Andrzej

    • Ja miałem dwa konta z których na jednym miałem niepotwierdzone dane, i ciągle przelewałem z niego pieniądze na to “prawdziwe”. Robiłem to od 2009 roku i jeszcze nie miałem ani razu problemu.

  2. Wygląda na to, ze znalazłem przypadkowo jeden z błędów, ale za cholerę nie mam pojęcia, jak mam zaszyfrować maila tym kluczem publicznym. Szukałem w google i tez kiepsko- mozna prosić o jakąś radę?

    • Jeśli nie wiesz jak zaszyfrować maila to wątpie, że jest to błąd z kategorii wyżej wymienionych ;)

    • To jakiś żart?

    • musisz zrobic XORa z tym plikiem :D

  3. “DoS-ować systemy PayPal” – powinno być “systemów” albo “systemu” :)

  4. Fajna captcha – “nicetry” :)

  5. A ja wczoraj dostałem dziwnego maila z paypala, z którego zresztą nigdy nie korzystałem. Your account is temporarily limited.
    W txt wiadomość wygląda tak:
    ——————————————————————–
    ——————————————————————–
    ——————————————————————–
    **** Commercial use of this software is prohibited ****

    Natomiast w .html jest jakiś formularz (dokładnie nie widać bo mam włączona blokadę JS), najpierw mam:
    Restore your PayPal account
    Please fill in all the details that are required to complete this verification process in order to restore your account. Secure .Please fill in all the fields.
    Potem form, a na dole:
    “I agree to restore my account from PayPal.
    Agree and Submit Copyright © 1999-2011 PayPal. All rights reserved.”

    Wszędzie grafiki mastercard i paypala, nagłówki też wskazują na paypal.pl ale w kodzie zaszyty jest *img style=”display: none;” src=”http://chasecleaningservice.com/images/cash.php”* Wszedłem na tą stronę, ale ona jakoś do paypala mi nie pasuje :>

  6. Przepraszam za 2x ale pierwszy post wyciął na samym dole adres www

  7. Haha! :)

  8. Czy to przypadkiem nie doprowadzi do swojego rodzaju “in house Mennica” ???

  9. PayPal płaci przez PayPal, ale pewnie prowizję też pobierają od transakcji ;D

  10. Raczej nie płaci. Już minął ponad miesiąc jak im zgłosiłem błąd umożliwiający utworzenie podkonta bez wiedzy właściciela. I nic…

  11. PayPal to oszuści! 2 błędy znalazłem, na jeden odpisali: błąd już był zgłoszony wcześniej przez kogoś…

    – ciekawe kogo ?

    drugi błąd: – brak odpowiedzi, po 3 tyg naprawiony !

    Oszuści !

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: