Empfohlen, 2019

Tipp Der Redaktion

PayPal bezahlt Sicherheitsforscher für gemeldete Sicherheitslücken

Der Payment Service Provider PayPal wird Sicherheitsforscher, die Sicherheitslücken auf seiner Website entdecken, mit Geld belohnen, wenn sie ihre Ergebnisse verantwortungsbewusst dem Unternehmen melden.

"Ich freue mich, Ihnen mitteilen zu können, dass wir haben unseren ursprünglichen Fehlerberichterstattungsprozess in ein kostenpflichtiges "Bug Bounty" -Programm aktualisiert ", sagte Michael Barrett, Chief Information Security Officer von PayPal, am Donnerstag in einem Blogbeitrag.

Cross-Site-Scripting (XSS), Cross-Site-Request-Fälschung (CSRF) ), SQL Injection (SQLi) und Authentifizierungs-Bypass-Schwachstellen qualifizieren sich für Bounties, deren Höhe von Fall zu Fall vom PayPal-Sicherheitsteam festgelegt wird. Forscher müssen über ein verifiziertes PayPal-Konto verfügen, um die Geldprämien zu erhalten.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

PayPal tritt in die Fußstapfen von Firmen wie Google, Mozilla und Facebook In den letzten Jahren wurden Sicherheitsbelohnungsprogramme für ihre Online-Dienste implementiert. "Während eine kleine Handvoll anderer Unternehmen Bug-Bounties eingeführt hat, glauben wir, dass wir das erste Finanzdienstleistungsunternehmen sind", sagte Barrett.

Die Bug-Bounty-Programme von Google, Mozilla und Facebook haben positive Ergebnisse gebracht weit, sagte Barrett. "Ich hatte ursprünglich Vorbehalte gegen die Idee, Forscher für Fehlerberichte zu bezahlen, aber ich gebe gerne zu, dass die Daten gezeigt haben, dass ich falsch liege - es ist eindeutig ein effektiver Weg, die Aufmerksamkeit der Forscher auf internetbasierte Dienste zu lenken und somit mehr zu finden potenzielle Probleme. ".

Das neue Bug-Bounty-Programm wird PayPal helfen, die Anzahl der Schwachstellen auf seinen Websites zu reduzieren, aber sie werden nicht vollständig verschwinden, sagte Marius Gabriel Avram, ein Sicherheitsingenieur des britischen Sicherheitsunternehmens RandomStorm In seiner Freizeit sucht Avram nach Schwachstellen in Webservices, die von Google, Facebook, Twitter, Microsoft, eBay, PayPal und anderen Unternehmen betrieben werden, die Sicherheitsforschern erlauben, dies zu tun, solange sie ihre Ergebnisse privat und öffentlich melden keinen Schaden verursachen. Es ist wie eine Herausforderung, die Sicherheitsforscher dabei unterstützt, ihre Fähigkeiten zu verbessern und in einigen Fällen etwas zusätzliches Geld zu verdienen, sagte Avram.

Avram hat in den vergangenen zwei Wochen über 10 Sicherheitsfragen in den Haupt- und mobilen Websites von PayPal gefunden und gemeldet. Einige von ihnen seien sehr streng, sagte er und fügte hinzu, dass die Mitarbeiter von PayPal jedes Mal geantwortet hätten.

Nicht jedes Unternehmen kann es sich leisten, ein Bug-Bounty-Programm durchzuführen. Allerdings gibt es große Unternehmen mit signifikanten Gewinnen wie eBay, Amazon, Sony und anderen, die solche Programme implementieren könnten und sollten, insbesondere da einige von ihnen in der Vergangenheit Datenverletzungen erlebt haben, sagte Avram.

Einige Hacker - die so Schwarze Hüte - missbrauchen die Schwachstellen, die sie für illegale Zwecke finden. Andere veröffentlichen sie auf ihren persönlichen Blogs oder anderen öffentlichen Webseiten, um sich einen Namen zu machen.

Avram glaubt, dass es diese zweite Art von Hackern ist, die bezahlte Bug-Bounty-Programme anziehen konnten. Wie Google und Facebook erkannte PayPal, dass es nicht wirklich funktioniere, solche Leute zu bitten, die Sicherheitsprobleme, die sie ohne Anreiz finden, zu melden, sagte er.

Top