Menü
Security

Auch Paypal belohnt Schwachstellen-Entdecker

vorlesen Drucken Kommentare lesen 23 Beiträge

Der Bezahldienst Paypal will die Entdecker von Schwachstellen auf seiner Webseite künftig im Rahmen eines Bug-Bounty-Programms belohnen – mit einer Überweisung aufs Paypal-Konto. Damit folgt Paypal Unternehmen wie Mozilla, Google und Facebook, die ambitionierte Sicherheitsforscher bereits seit geraumer Zeit für gefundene Lücken bezahlen.

Im Gegensatz zu den anderen Unternehmen nennt Paypal die Höhe der Prämien auf seiner Webseite nicht. Wie heise Security von Paypals Sicherheitsabteilung erfuhr, werden Lücken abhängig vom Schweregrad mit 500 bis 5000 US-Dollar belohnt, es seien jedoch auch Ausnahmen möglich.

PayPal vergütet das Aufspüren der folgenden Schwachstellentypen: Cross-Site-Scripting (XSS), Cross-Site Request Forgery (CSRF), SQL-Injection (SQLi) und Authentication bypass, also den Kontozugriff ohne Login. Wie auch bei den anderen Firmen ist die Hauptvoraussetzung für die Teilnahme, dass es sich um eine bislang unbekannte Lücke handelt, die man dem vertraulich und exklusiv meldet.

Offenbar will das Unternehmen mit seinem Belohnungsprogramm peinlichen Sicherheitspannen wie der im März dieses Jahres vorbeugen. Es gelang damals einem heise-Leser ausgerechnet über die sehr prominente Suche, durch XSS eigenen Code in die Paypal-Seite einzuschleusen.

Ausdrücklich ausgeschlossen sind CSRF-Lücken, durch die ein Benutzer aus seinem Paypal-Account ausgeloggt werden kann. Das Unternehmen fordert interessierte Schwachstellenforscher dazu auf, die Stabilität der Webseite durch die Lückensuche nicht zu gefährden und auch nicht auf die Daten anderer Nutzer zuzugreifen oder diese gar zu zerstören. (rei)