• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Paypal no paga por un fallo de seguridad descubierto por un chico de 17 años

Paypal no paga por un fallo de seguridad descubierto por un chico de 17 años

29 mayo, 2013 Por Hispasec 14 comentarios

Robert Kugler, un alemán de 17 años, ha descubierto un grave fallo de seguridad en Paypal. La empresa, lejos de recompensar al estudiante a través de su programa oficial de caza de bugs, le «descalificó» después de haber reportado el fallo, que finalmente ha hecho público. No es el primer desliz de Paypal con respecto a los investigadores.
Robert Kugler ha descubierto un clásico problema de Cross Site Scripting en el buscador de Paypal. En una web de esta categoría, un XSS puede resultar extremadamente serio, puesto que permitiría a atacantes engañar a los usuarios de una manera mucho más sofisticada.

http://picturepush.com/public/13144090

Kugler quiso acogerse al programa de recompensas de Paypal, que anima a la investigación responsable de vulnerabilidades premiando económicamente a los usuarios que encuentren fallos de seguridad. Así motivan un uso responsable de las vulnerabilidades. Mozilla, Google y otros agentes externos que funcionan como intermediarios, actúan de esta forma con éxito desde que se pusiera de moda hace unos años.
Kluger recibió sin embargo un email afirmando que su descubrimiento no optaba al premio por tener 17 años. Finalmente ha publicado el problema en Full Disclosure, quejándose de la situación. Kluger afirma que la respuesta de Paypal fue:

«To be eligible for the Bug Bounty Program, you must not: … Be less than 18 years of age. If PayPal discovers that a researcher does not meet any of the criteria above, PayPal will remove that researcher from the Bug Bounty Program and disqualify them from receiving any bounty payments.»

Pero parece que esto le fue comunicado en privado, puesto que públicamente no se pueden encontrar fácilmente esas restricciones en ninguna página oficial de Paypal ni parece que nunca se haya impuesto públicamente esta restricción.
El investigador en desventaja
Poner restricciones a la entregas de premios después de haber recibido la información es una práctica que, cuando menos, coloca al investigador en desventaja. No conoce las reglas del juego completas hasta que ha enseñado sus cartas (el código vulnerable) a la compañía. Esta, que ya puede arreglar el fallo (en última instancia, es lo que les interesa), decide entonces que los menores de edad no pueden recibir un premio.

Si se tratase de una cuestión legal, existen innumerables formas de sortear el inconveniente, como pedir permiso a sus tutores legales o compensar de otras formas. Pero la realidad es que se ha rechazado a la persona que encuentra un fallo que perfectamente encaja en la dinámica y reglas propuestas por Paypal, por una cuestión «menor» como es la edad… y esto deja en clara desventaja al usuario y da muy mala imagen a Paypal, que no es la primera vez que se ve criticada por otros aspirantes a la recompensa. Se han conocido otros problemas sufridos por investigadores para que la compañía realmente les pague por sus vulnerabilidades.

Otras empresas como Mozilla, llegaron a pagar 3.000 dólares a un chico de 12 años por encontrar un grave fallo de seguridad en el navegador. Cim Stordal, de 15 años, ha descubierto ya fallos en Facebook, Chrome… y en la mayoría de los programas ha sido aceptado y recompensado.
El investigador de seguridad informática es habitualmente joven, y la experiencia demuestra que suele elucubrar sus mejores ideas o potenciar sus habilidades durante su adolescencia. Imponer una restricción de edad como si la «inmadurez legal» fuese un obstáculo técnico en el mundo de la seguridad, no puede más que interpretarse como una excusa por parte de la compañía y una puesta en evidencia de un programa de recompensas que, si bien ha resultado una buena idea en general para todas las empresas que lo han puesto en marcha, Paypal en concreto parece gestionar de forma discutible. O al menos, no parece que le esté otorgando el rédito en buena imagen que, como efecto colateral, también se busca con estas iniciativas.
Más información:
La caza de bugs en Paypal acaba con la publicación de un grave agujero de seguridad
http://unaaldia.hispasec.com/2012/11/la-caza-de-bugs-en-paypal-acaba-con-la.html
PayPal.com XSS Vulnerability
http://seclists.org/fulldisclosure/2013/May/163
Boy bug hunter nabs $3,000 from Mozilla
http://news.cnet.com/8301-17852_3-20020534-71.html
Teen finds bugs in Google, Facebook, Apple, Microsoft code
http://news.cnet.com/8301-27080_3-57369971-245/teen-finds-bugs-in-google-facebook-apple-microsoft-code/
Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Vulnerabilidades

Interacciones con los lectores

Comentarios

  1. Anónimo dice

    29 mayo, 2013 a las 4:36 pm

    Veo positivo que el hallazgo de las vulnerabilidades sea recompensado por la empresa afectada ya que de otro modo podrían ser aprovechadas por personas con intenciones delictivas. Aunque eso sí, me parece muy mal que no le hayan retribuido su descubrimiento, a pesar de que el investigador sea menor de edad.

    Responder
  2. Anónimo dice

    29 mayo, 2013 a las 11:50 pm

    Cual es el mensaje oculto: Vende la vulnerabilidad a los hackers!

    Responder
  3. Federico Sosa dice

    30 mayo, 2013 a las 12:16 am

    Los menores que encuentren vulnerabilidades en Paypal comenzarán a hacerlo.

    Responder
  4. Anónimo dice

    30 mayo, 2013 a las 12:25 am

    Es inadmisible que a una persona que no llega a los 18 no deba cobrar, en cualquier caso hay que incentivar el descubrimiento de los fallos del sistema y servirlo al que puede solucionarlo….

    En cualquier caso seguro que le pueden pagar los gastos universitarios o estudios superiores que incentiven al chaval o un año en Yale o donde sea necesario… se aproximarian al genio y conseguirian mejores resultados

    Responder
  5. Anónimo dice

    30 mayo, 2013 a las 1:35 am

    Todo eso, es falso y ese no es le motivo.. es mejor informarse mejor antes de joder a un español..

    http://hackingmadrid.blogspot.com.es/2013/05/aclarando-el-lio-de-pay-pal-ya-que.html

    Responder
  6. Anónimo dice

    30 mayo, 2013 a las 11:05 am

    Seguramente, si enviaste el correo a PayPal con los mismos colores que componen tu blog, se lo tomaran a coña.

    PD: Madura.

    Responder
  7. Anónimo dice

    30 mayo, 2013 a las 11:57 am

    No sé quién tendrá razón en este tema… pero una cosa está clara el del blog no tiene ni idea de ortografía.
    Pierde mucha fuerza tu postura cuando publicas tu defensa con tantas faltas de ortografía.

    Responder
  8. Anónimo dice

    30 mayo, 2013 a las 12:27 pm

    Yo no soy el del blog pero que madure tu padre… como lo ves? .. !! bien, pues eso SUBNORMAL, no insultes y lo que pone a aquí ES FALSO pero vamos que y otros sitios lo estan diciendo !!! MADURA

    Responder
  9. Anónimo dice

    30 mayo, 2013 a las 12:29 pm

    y uuna vez releido que yo sepa faltas de ortografía NINGUNA .. otra cosa es que se coma alguna letra el chaval, pero ortografía ninguna TROLL

    Responder
  10. Anónimo dice

    30 mayo, 2013 a las 2:36 pm

    http://www.theregister.co.uk/2013/05/30/paypal_bug_bounty/

    Responder
  11. Anónimo dice

    30 mayo, 2013 a las 3:28 pm

    O bien no lo has leído con atención o tampoco controlas mucho de ortografía…
    Para muestra un botón,

    -Como PAY-PAL le ha dicho en un email y al chaval amablemente a puesto en la lista de correo, ya existe un «security researcher» que ha reportado antes el fallo.

    El verbo haber se escribe con «h» -> a puesto.

    Hala a estudiar un poco.

    Responder
  12. Anónimo dice

    31 mayo, 2013 a las 5:38 pm

    No veo ninguna prueba FIABLE de que el tal Juan Carlos García sea realmente el que descubrió el fallo. Hasta llegué a pasar vergüenza ajena de la que lió por twitter dándose el protagonismo y yendo de humilde a la vez.

    Responder
  13. Anónimo dice

    31 mayo, 2013 a las 5:48 pm

    Es lo que tienen los «medallitas»…

    Responder
  14. Anónimo dice

    1 junio, 2013 a las 12:41 am

    Si , y la envidia, que es jodida y mala

    Responder

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Técnica permite modificar ficheros PDF con firma digital
  • Tamagotchi para hackers: Flipper Zero
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR