Siguiendo la estrategia de otras compañías de la industria como Mozilla y Google que ofrecen recompensas de seguridad a quienes reporten fallos de seguridad en sus productos, PayPal ha anunciado que también ofrecerá este incentivo con el fin de mejorar la seguridad de sus servicio.
La compañía no reveló el monto que ofrece por cada bug que sea revelado, sin embargo, asegura que será su equipo de seguridad el que terminará la gravedad de cada vulnerabilidad y el pago final. Aunque es de esperarse que sea una cantidad similar a de programas de recompensas actuales, lo cierto es que esto podría ocasionar que no muchos investigadores se sientan precisamente «emocionados» de buscar fallos de seguridad en el popular servicio de pago.
Eso sí, la razón por la que PayPal ha decidido adoptar esta iniciativa se debe a que se ha convertido en uno de los principales focos de los cibercriminales para atacar usuarios y cometer fraudes financierso, y aunque está claro que esto no es nada nuevo, un representante de la compañía señaló que PayPal es a primera compañía en el mercado de servicios financieros en iniciar un programa de recompensas de este tipo.
El programa de recompensas de PayPal sólo tomará en cuenta cuatro tipo de vulnerabilidades: XSS, CSRF, inyección de SQL y evasión de autenticación. Debido a que la investigación de estas vulnerabilidades puede ser algo más complejo ya que no es como estar probando los errores en una maquina local en una aplicación de escritorio como Firefox o Chrome, PayPal ha pedido a los expertos lleva a cabo investigaciones que puedan implicar el uso de exploit que permiten ver datos sin autorización o corrupción de información.
Si bien los investigadores podrán hacer públicas sus vulnerabilidades, la compañía pide que en un inicio los reportes se hagan de manera privada y se les ofrezca un tiempo razonable para poder solucionarlas.
(vía: threatpost)
