PayPal também pagará por descobertas de bugs de segurança

A PayPal vai premiar em dinheiro pesquisadores de segurança que descobrirem vulnerabilidades em seu site, se eles relatarem suas descobertas para a empresa de “forma responsável”.

“Atualizamos nosso processo de reportar bugs de forma a premiar informações”, escreveu o diretor de segurança da empresa em um post no blog na quinta-feira.

Falhas de cross-site scripting (XSS), cross-site request forgery (CSRF), injeção de SQL (SQLI) e vulnerabilidades de autenticação irão receber prêmios, cujo montante será decidido pela equipe de segurança do PayPal caso a caso.

Com isso, o PayPal segue os passos de empresas como Google, Mozilla e Facebook, que implementaram programas de recompensa. “Apesar de um algumas empresas terem implementado planos assim, acreditamos que somos a primeira empresa de serviços financeiros a fazê-lo”, disse Barrett.

Os programas de recompensa do Google, Mozilla e Facebook tiveram resultados positivos até agora, disse Barrett. “Originalmente, tinha reservas quanto à idéia de pagar os pesquisadores, mas estou feliz em admitir que os dados mostraram-me estar errado – é claramente uma forma eficaz de aumentar a atenção dos pesquisadores em serviços baseados na Internet e, portanto, encontrar mais problemas potenciais”.

O programa vai ajudar o PayPal a reduzir o número de vulnerabilidades em seus sites, mas elas não irão desaparecer completamente, disse Marius Gabriel Avram, engenheiro de segurança da RandomStorm.

Em seu tempo livre, Avram procura por vulnerabilidades em serviços web operados pelo Google, Facebook, Twitter, Microsoft, eBay, PayPal e outras empresas que permitem a pesquisadores de segurança fazer isso, contanto que eles relatem suas descobertas em particular e não causem qualquer danos. É como um desafio que ajuda os pesquisadores a melhorar suas habilidades e, em alguns casos, ganhar algum dinheiro extra, Avram disse.

Avram encontrou e relatou mais de 10 problemas de segurança nos sites principal e móvel do PayPal durante as últimas duas semanas. Alguns deles eram de alta gravidade, disse, acrescentando que o pessoal do PayPal respondeu o tempo todo.

Nem toda empresa pode dar ao luxo de ter um programa de recompensas. No entanto, grandes marcas com lucros significativos, como eBay, Amazon, Sony e outras deveriam fazê-lo, especialmente porque algumas sofreram violações de dados no passado, argumenta.

Fonte: IDG Now!

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado.