Por ser menor de edad, PayPal no paga recompensa a joven que descubrió vulnerabilidad
La falla estaba relacionado con el proceso de pagos del servicio, donde atacantes podrían explotar un agujero de seguridad XSS (secuencias de comandos en sitios cruzados) para, entre otras cosas, robar credenciales de acceso al portal.
Robert Kugler, un escolar alemán de 17 años, se llevó la decepción de su vida al negarse PayPal a pagarle la recompensa por encontrar una vulnerabilidad en el sitio web de la empresa. La falla estaba relacionado con el proceso de pagos del servicio, donde atacantes podrían explotar un agujero de seguridad XSS (secuencias de comandos en sitios cruzados) para, entre otras cosas, robar credenciales de acceso al portal.
Debido a que la empresa cuenta con un programa que entrega recompensas a los usuarios que encuentran bugs en su sitio, Kugler postuló al premio como ya lo había hecho antes con otras grandes empresas de tecnología, como Microsoft y Mozilla.
Sin embargo, el joven se encontró con que PayPal sólo estaba dispuesto a pagarle a mayores de 18 años pese a que no está especificado en los términos de programa.
Kugler entonces decidió publicar la vulnerabilidad en Internet a través del sitio web Seclists.org, un foro dedicado a compartir agujeros de seguridad, con la declaración de que “no quiero reclamarle a PayPal acerca de sus métodos para ahorrar en su programa de recompensas, pero no es una buena idea cuando estás interesado en motivar a los investigadores de seguridad“.
