Robert Kugler, un étudiant allemand de 17 ans, soutient que PayPal a refusé de le récompenser suite à la découverte d’une vulnérabilité sur le site Web de paiement en ligne. Paypal invoque que le programme de récompense est réservé aux personnes majeures.
Robert Kugler explique qu’il a notifié PayPal de la vulnérabilité le 19 mai. Il a dit qu’il a été informé par email qu’il a moins de 18 ans, il n’est pas qualifié pour le programme Bug Bounty. Il va avoir la majorité le 18 mars prochain.
PayPal, qui est détenue par le site d’enchères eBay, définit les conditions et modalités de son programme Bug Bounty sur son site internet, mais ne semble pas avoir une ligne directrice concernant l’âge des participants. Les responsables de PayPal n’ont pour l’instant fait aucun commentaire sur l’affaire.
Beaucoup d’entreprises du Web ayant pignon sur rue comme PayPal, Google et Facebook ont ??des programmes de fidélité et de récompense. Ces programmes visent à inciter les chercheurs en sécurité indépendants à signaler des failles de sécurité au sein des sites Internet afin de leur permettre de corriger avant que des pirates informatiques en profitent.
Facebook paie un minimum de 500 $ US pour les bugs découverts, alors que Google paie de 100 $ jusqu’à 20,000 $ selon la gravité de la question. Il n’y a pas de restriction d’âge figurant dans les conditions présentes sur leurs sites Web respectifs. Microsoft ne paie pas l’information sur une vulnérabilité, mais reconnaît publiquement le travail. PayPal quand à lui, ne répertorie pas les sommes promises aux chercheurs de bugs.
Kugler est déjà répertorié en tant que contributeur dans une liste de chercheurs en sécurité indépendants de Microsoft datant d’avril. Il a dit qu’il a d’ores-et-déjà reçu des récompenses pour avoir trouvé des failles de sécurité dans le passé. Mozilla lui a versé 1500 $ US pour avoir découvert un problème dans le navigateur Firefox l’année dernière et 3000 $ plus tôt cette année pour un autre bug.
PayPal exige que les personnes à l’origine de ces rapports de bugs disposent d’un compte PayPal vérifié. Kugler a dit qu’il a demandé à PayPal que toute soit prime versée sur le compte de sa mère.
Au minimum, Kugler aimerait que PayPal reconnaisse sa découverte et qu’il lui fasse parvenir certains documents qu’il pourra utiliser dans le monde du travail. Jusqu’ici, il n’a rien reçu.
Les détails de la vulnérabilité, une faille Cross-site Scripting (XSS), sont affichés publiquement sur le site Seclists.org, dédié à la divulgation des failles de sécurité.
Les commentaires sont fermés.