Computerworld News Service: Betalingsservicen PayPal er begyndt at belønne sikkerhedsanalytikere, som finder sårbarheder på PayPals websites, hvis de rapporterer deres opdagelser på en forsvarlig måde.
"Det er med glæde, at jeg kan oplyse, at vi har opdateret vores oprindelige proces til rapportering af fejl til et program med udbetaling af dusør for fejl," skriver PayPals it-sikkerhedschef, Michael Barrett, i et blogindlæg torsdag.
Cross-site scripting (XSS), cross-site request forgery (CSRF), SQL-injektion (SQLi) og sårbarheder til omgåelse af autentifikation vil alle udløse dusør.
Størrelsen af dusøren vil dog blive fastsat af PayPals sikkerhedsteam ud fra en vurdering af hvert enkelt tilfælde.
Skal have godkendt konto
Man er desuden nødt til at have en godkendt PayPal-konto for at få udbetalt sådanne dusører.
PayPal følger hermed i fodsporene af virksomheder som Google, Mozilla og Facebook, der alle i løbet af de sidste par år har implementeret dusørprogrammer for fejl fundet i deres online-services.
"En lille håndfuld andre selskaber udbetaler i forvejen dusører for fejl, men vi mener, at vi er det første selskab i finanssektoren, der gør det," siger Barrett.
Andre har haft succes med modellen
Googles, Mozillas og Facebooks dusørprogrammer har ifølge Barrett indtil videre haft positive resultater.
"Jeg havde i første omgang nogle forbehold overfor ideen med at betale eksperter for rapportering af fejl, men jeg kan med glæde erkende, at dataene har vist, at jeg tog fejl - det er helt tydeligt en effektiv måde at øge sikkerhedsanalytikernes opmærksomhed på internetbaserede services, så de derfor finder flere potentielle problemer."
Det nye dusørprogram vil hjælpe PayPal til at reducere antallet af sårbarheder i sine websites, men fejl vil der altid være, påpeger Marius Gabriel Avram, der er sikkerhedsudvikler hos sikkerhedsfirmaet RandomStorm.
I sin fritid leder Avram efter sårbarheder i webservices fra Google, Facebook, Twitter, Microsoft, eBay, PayPal og andre selskaber, der gør den slags muligt for sikkerhedsanalytikere på den betingelse, at de rapporterer deres opdagelser privat og ikke forårsager nogen skade.
Det fungerer som en udfordring, der hjælper sikkerhedsanalytikere til at forbedre deres kompetencer og giver i visse tilfælde en ekstra indtægt, oplyser Avram.
Dusør-programmer
Avram har fundet og rapporteret over 10 sikkerhedsfejl i PayPals primære og mobile websites alene i løbet af de sidste to uger.
Nogle af dem var meget alvorlige, fortæller han og tilføjer, at PayPals medarbejdere har reageret hver gang.
Det er ikke alle selskaber, der har råd til at udbetale dusører for rapportering af fejl.
Men der findes en lang række store virksomheder såsom eBay, Amazon, Sony og andre, der ifølge Avram kan og bør implementere sådanne programmer, især i lyset af at flere af dem tidligere har oplevet brud på datasikkerheden.
De slemme hackere
Visse hackere - de såkaldte black hats - misbruger de sårbarheder, de finder, til ulovlige formål.
Andre offentliggør dem på deres personlige blogs eller på andre offentligt tilgængelige websites for at blive et kendt navn i branchen.
Avram vurderer, at det er denne anden kategori af hackere, som programmer til udbetaling af dusører for rapportering af sårbarheder kan tiltrække.
Ligesom Google og Facebook har PayPal ifølge Avram indset, at det ikke rigtigt fungerer at bede sådanne folk om at rapportere de sikkerhedshuller, de finder, uden at der samtidig skabes et incitament.
Oversat af Thomas Bøndergaard
