PayPal mette una taglia sulla testa dei bug

PayPal (qui sopra nella sua veste rinnovata ed in fase di roll-out) ha deciso di pagare i ricercatori nel campo della sicurezza informatica (leggi: “hacker”) per trovare i “buchi” nel sito. E’ a tutti gli effetti disposto a pagare una taglia per ciascun problema che verrà riscontrato. Sebbene sia una consuetudine relativamente comune tra le compagnie che vivono di business online, si tratta di una “prima volta” per il mondo della finanza.

Secondo il CEO di PayPal Michael Barrett, si tratta della maniera più semplice ed efficace per tenere alta l’attenzione degli esperti nel campo, che potranno dedicarsi a quattro differenti aree problematiche: XSS (Cross Site Scripting), CSRF (Cross Site Request Forgery), SQL Injection e Authentication Bypass. Una volta scoperto il problema (e queste quattro metodologie sono tutte piuttosto sfruttate dai cybercriminali), al white hat di turno sarà sufficiente inserire i dettagli in un questionario criptato.

Unico problema con questo approccio è la scarsa chiarezza di PayPal a riguardo dell’entità delle “taglie”. Una volta inviati i dettagli del bug, gli esperti del sito correranno a sistemarlo ed in seguito invieranno la ricompensa al ricercatore, ma l’ammontare sarà a completa discrezione di PayPal. Lavorare senza sapere qual’è il tornaconto non è il massimo.

Google, per esempio, offre un massimale di $20.000 per i bug, mentre Facebook ha un minimale di $500. Mozilla ha una taglia fissa per i bug che coinvolgono la sicurezza di $3.000.

Il modus operandi di PayPal è degno di lode per l’apertura mentale e l’intelligenza: questo tipo di ricerca è di fatto illegale, anche quando viene portata a termine con lo scopo di aiutare la vittima del bug. Va da sè che PayPal promette di non riportare l’attività del white hat alle autorità, nè di fargli causa - Per quanto sia paradossale, sarebbe teoricamente possibile.

Via | GigaOm

  • shares
  • Mail
1 commenti Aggiorna
Ordina: