Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Vulnerabilidades / Paypal no paga por un fallo de seguridad descubierto por un chico de 17 años

Paypal no paga por un fallo de seguridad descubierto por un chico de 17 años

Por 14 comentarios

Robert Kugler, un alemán de 17 años, ha descubierto un grave fallo de seguridad en Paypal. La empresa, lejos de recompensar al estudiante a través de su programa oficial de caza de bugs, le «descalificó» después de haber reportado el fallo, que finalmente ha hecho público. No es el primer desliz de Paypal con respecto a los investigadores.
Robert Kugler ha descubierto un clásico problema de Cross Site Scripting en el buscador de Paypal. En una web de esta categoría, un XSS puede resultar extremadamente serio, puesto que permitiría a atacantes engañar a los usuarios de una manera mucho más sofisticada.

http://picturepush.com/public/13144090

Kugler quiso acogerse al programa de recompensas de Paypal, que anima a la investigación responsable de vulnerabilidades premiando económicamente a los usuarios que encuentren fallos de seguridad. Así motivan un uso responsable de las vulnerabilidades. Mozilla, Google y otros agentes externos que funcionan como intermediarios, actúan de esta forma con éxito desde que se pusiera de moda hace unos años.
Kluger recibió sin embargo un email afirmando que su descubrimiento no optaba al premio por tener 17 años. Finalmente ha publicado el problema en Full Disclosure, quejándose de la situación. Kluger afirma que la respuesta de Paypal fue:

«To be eligible for the Bug Bounty Program, you must not: … Be less than 18 years of age. If PayPal discovers that a researcher does not meet any of the criteria above, PayPal will remove that researcher from the Bug Bounty Program and disqualify them from receiving any bounty payments.»

Pero parece que esto le fue comunicado en privado, puesto que públicamente no se pueden encontrar fácilmente esas restricciones en ninguna página oficial de Paypal ni parece que nunca se haya impuesto públicamente esta restricción.
El investigador en desventaja
Poner restricciones a la entregas de premios después de haber recibido la información es una práctica que, cuando menos, coloca al investigador en desventaja. No conoce las reglas del juego completas hasta que ha enseñado sus cartas (el código vulnerable) a la compañía. Esta, que ya puede arreglar el fallo (en última instancia, es lo que les interesa), decide entonces que los menores de edad no pueden recibir un premio.

Si se tratase de una cuestión legal, existen innumerables formas de sortear el inconveniente, como pedir permiso a sus tutores legales o compensar de otras formas. Pero la realidad es que se ha rechazado a la persona que encuentra un fallo que perfectamente encaja en la dinámica y reglas propuestas por Paypal, por una cuestión «menor» como es la edad… y esto deja en clara desventaja al usuario y da muy mala imagen a Paypal, que no es la primera vez que se ve criticada por otros aspirantes a la recompensa. Se han conocido otros problemas sufridos por investigadores para que la compañía realmente les pague por sus vulnerabilidades.

Otras empresas como Mozilla, llegaron a pagar 3.000 dólares a un chico de 12 años por encontrar un grave fallo de seguridad en el navegador. Cim Stordal, de 15 años, ha descubierto ya fallos en Facebook, Chrome… y en la mayoría de los programas ha sido aceptado y recompensado.
El investigador de seguridad informática es habitualmente joven, y la experiencia demuestra que suele elucubrar sus mejores ideas o potenciar sus habilidades durante su adolescencia. Imponer una restricción de edad como si la «inmadurez legal» fuese un obstáculo técnico en el mundo de la seguridad, no puede más que interpretarse como una excusa por parte de la compañía y una puesta en evidencia de un programa de recompensas que, si bien ha resultado una buena idea en general para todas las empresas que lo han puesto en marcha, Paypal en concreto parece gestionar de forma discutible. O al menos, no parece que le esté otorgando el rédito en buena imagen que, como efecto colateral, también se busca con estas iniciativas.
Más información:
La caza de bugs en Paypal acaba con la publicación de un grave agujero de seguridad
http://unaaldia.hispasec.com/2012/11/la-caza-de-bugs-en-paypal-acaba-con-la.html
PayPal.com XSS Vulnerability
http://seclists.org/fulldisclosure/2013/May/163
Boy bug hunter nabs $3,000 from Mozilla
http://news.cnet.com/8301-17852_3-20020534-71.html
Teen finds bugs in Google, Facebook, Apple, Microsoft code
http://news.cnet.com/8301-27080_3-57369971-245/teen-finds-bugs-in-google-facebook-apple-microsoft-code/
Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv

Interacciones del lector

Comentarios

  1. Veo positivo que el hallazgo de las vulnerabilidades sea recompensado por la empresa afectada ya que de otro modo podrían ser aprovechadas por personas con intenciones delictivas. Aunque eso sí, me parece muy mal que no le hayan retribuido su descubrimiento, a pesar de que el investigador sea menor de edad.

    Responder

  4. Es inadmisible que a una persona que no llega a los 18 no deba cobrar, en cualquier caso hay que incentivar el descubrimiento de los fallos del sistema y servirlo al que puede solucionarlo….

    En cualquier caso seguro que le pueden pagar los gastos universitarios o estudios superiores que incentiven al chaval o un año en Yale o donde sea necesario… se aproximarian al genio y conseguirian mejores resultados

    Responder

  6. Seguramente, si enviaste el correo a PayPal con los mismos colores que componen tu blog, se lo tomaran a coña.

    PD: Madura.

    Responder

  7. No sé quién tendrá razón en este tema… pero una cosa está clara el del blog no tiene ni idea de ortografía.
    Pierde mucha fuerza tu postura cuando publicas tu defensa con tantas faltas de ortografía.

    Responder

  8. Yo no soy el del blog pero que madure tu padre… como lo ves? .. !! bien, pues eso SUBNORMAL, no insultes y lo que pone a aquí ES FALSO pero vamos que y otros sitios lo estan diciendo !!! MADURA

    Responder

  9. y uuna vez releido que yo sepa faltas de ortografía NINGUNA .. otra cosa es que se coma alguna letra el chaval, pero ortografía ninguna TROLL

    Responder

  11. O bien no lo has leído con atención o tampoco controlas mucho de ortografía…
    Para muestra un botón,

    -Como PAY-PAL le ha dicho en un email y al chaval amablemente a puesto en la lista de correo, ya existe un «security researcher» que ha reportado antes el fallo.

    El verbo haber se escribe con «h» -> a puesto.

    Hala a estudiar un poco.

    Responder

  12. No veo ninguna prueba FIABLE de que el tal Juan Carlos García sea realmente el que descubrió el fallo. Hasta llegué a pasar vergüenza ajena de la que lió por twitter dándose el protagonismo y yendo de humilde a la vez.

    Responder

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.