Robert Kugler, un alemán de 17 años, ha descubierto un grave fallo de seguridad en Paypal. La empresa lider de pagos online, lejos de recompensar al estudiante a través de su programa oficial de caza de bugs, le “descalificó” después de …

 …  haber reportado el fallo, que finalmente ha hecho público. No es el primer desliz de Paypal con respecto a los investigadores. 

 
Robert Kugler ha descubierto un clásico problema de Cross Site Scripting en el buscador de Paypal. En una web de esta categoría, un XSS puede resultar extremadamente serio, puesto que permitiría a atacantes engañar a los usuarios de una manera mucho más sofisticada. 
 
http://picturepush.com/public/13144090 
 
Kugler quiso acogerse al programa de recompensas de Paypal, que anima a la investigación responsable de vulnerabilidades premiando económicamente a los usuarios que encuentren fallos de seguridad. Así motivan un uso responsable de las vulnerabilidades. Mozilla, Google y otros agentes externos que funcionan como intermediarios, actúan de esta forma con éxito desde que se pusiera de moda hace unos años. 
 
Kluger recibió sin embargo un email afirmando que su descubrimiento no optaba al premio por tener 17 años. Finalmente ha publicado el problema en Full Disclosure, quejándose de la situación. Kluger afirma que la respuesta de Paypal fue: 
 
 "To be eligible for the Bug Bounty Program, you must not: … Be less  than 18 years of age. If PayPal discovers that a researcher does not  meet any of the criteria above, PayPal will remove that researcher  from the Bug Bounty Program and disqualify them from receiving any  bounty payments." 
 
Pero parece que esto le fue comunicado en privado, puesto que públicamente no se pueden encontrar fácilmente esas restricciones en ninguna página oficial de Paypal ni parece que nunca se haya impuesto públicamente esta restricción. 
 
El investigador en desventaja 
 
Poner restricciones a la entregas de premios después de haber recibido la información es una práctica que, cuando menos, coloca al investigador en desventaja. No conoce las reglas del juego completas hasta que ha enseñado sus cartas (el código vulnerable) a la compañía. Esta, que ya puede arreglar el fallo (en última instancia, es lo que les interesa), decide entonces que los menores de edad no pueden recibir un premio. 
 
Si se tratase de una cuestión legal, existen innumerables formas de sortear el inconveniente, como pedir permiso a sus tutores legales o compensar de otras formas. Pero la realidad es que se ha rechazado a la persona que encuentra un fallo que perfectamente encaja en la dinámica y reglas propuestas por Paypal, por una cuestión "menor" como es la edad… y esto deja en clara desventaja al usuario y da muy mala imagen a Paypal, que no es la primera vez que se ve criticada por otros aspirantes a la recompensa. Se han conocido otros problemas sufridos por investigadores para que la compañía realmente les pague por sus vulnerabilidades. 
 
Otras empresas como Mozilla, llegaron a pagar 3.000 dólares a un chico de 12 años por encontrar un grave fallo de seguridad en el navegador. 
Cim Stordal, de 15 años, ha descubierto ya fallos en Facebook, Chrome…. 
y en la mayoría de los programas ha sido aceptado y recompensado. 
 
El investigador de seguridad informática es habitualmente joven, y la experiencia demuestra que suele elucubrar sus mejores ideas o potenciar sus habilidades durante su adolescencia. Imponer una restricción de edad como si la "inmadurez legal" fuese un obstáculo técnico en el mundo de la seguridad, no puede más que interpretarse como una excusa por parte de la compañía y una puesta en evidencia de un programa de recompensas que, si bien ha resultado una buena idea en general para todas las empresas que lo han puesto en marcha, Paypal en concreto parece gestionar de forma discutible. O al menos, no parece que le esté otorgando el rédito en buena imagen que, como efecto colateral, también se busca con estas iniciativas. 
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2013/05/paypal-no-paga-por-un-fallo-de.html#comments
 
Más información:
 
La caza de bugs en Paypal acaba con la publicación de un grave agujero de seguridad http://unaaldia.hispasec.com/2012/11/la-caza-de-bugs-en-paypal-acaba-con-la.html
 
PayPal.com XSS Vulnerability
http://seclists.org/fulldisclosure/2013/May/163
 
Boy bug hunter nabs $3,000 from Mozilla
http://news.cnet.com/8301-17852_3-20020534-71.html
 
Teen finds bugs in Google, Facebook, Apple, Microsoft code http://news.cnet.com/8301-27080_3-57369971-245/teen-finds-bugs-in-google-facebook-apple-microsoft-code/

Fuente:
Sergio de los Santos
ssantos@hispasec.com
twitter: @ssantosv
Laboratorio Hispasec
www.hispasec.com

Imagen: 
Fotos Digitales Gratis
www.fotosdigitalesgratis.com
 
Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar