It-gigant vil betale dig for at finde sikkerhedshuller

PayPal står klar med knitrende dollar, som du kan få, hvis du opdager sikkerhedshuller, der rapporteres på en forsvarlig måde.

Artikel top billede

Computerworld News Service: Betalingsservicen PayPal er begyndt at belønne sikkerhedsanalytikere, som finder sårbarheder på PayPals websites, hvis de rapporterer deres opdagelser på en forsvarlig måde.

"Det er med glæde, at jeg kan oplyse, at vi har opdateret vores oprindelige proces til rapportering af fejl til et program med udbetaling af dusør for fejl," skriver PayPals it-sikkerhedschef, Michael Barrett, i et blogindlæg torsdag.

Cross-site scripting (XSS), cross-site request forgery (CSRF), SQL-injektion (SQLi) og sårbarheder til omgåelse af autentifikation vil alle udløse dusør.

Størrelsen af dusøren vil dog blive fastsat af PayPals sikkerhedsteam ud fra en vurdering af hvert enkelt tilfælde.

Skal have godkendt konto

Man er desuden nødt til at have en godkendt PayPal-konto for at få udbetalt sådanne dusører.

PayPal følger hermed i fodsporene af virksomheder som Google, Mozilla og Facebook, der alle i løbet af de sidste par år har implementeret dusørprogrammer for fejl fundet i deres online-services.

"En lille håndfuld andre selskaber udbetaler i forvejen dusører for fejl, men vi mener, at vi er det første selskab i finanssektoren, der gør det," siger Barrett.

Andre har haft succes med modellen

Googles, Mozillas og Facebooks dusørprogrammer har ifølge Barrett indtil videre haft positive resultater.

"Jeg havde i første omgang nogle forbehold overfor ideen med at betale eksperter for rapportering af fejl, men jeg kan med glæde erkende, at dataene har vist, at jeg tog fejl - det er helt tydeligt en effektiv måde at øge sikkerhedsanalytikernes opmærksomhed på internetbaserede services, så de derfor finder flere potentielle problemer."

Det nye dusørprogram vil hjælpe PayPal til at reducere antallet af sårbarheder i sine websites, men fejl vil der altid være, påpeger Marius Gabriel Avram, der er sikkerhedsudvikler hos sikkerhedsfirmaet RandomStorm.

I sin fritid leder Avram efter sårbarheder i webservices fra Google, Facebook, Twitter, Microsoft, eBay, PayPal og andre selskaber, der gør den slags muligt for sikkerhedsanalytikere på den betingelse, at de rapporterer deres opdagelser privat og ikke forårsager nogen skade.

Det fungerer som en udfordring, der hjælper sikkerhedsanalytikere til at forbedre deres kompetencer og giver i visse tilfælde en ekstra indtægt, oplyser Avram.

Dusør-programmer

Avram har fundet og rapporteret over 10 sikkerhedsfejl i PayPals primære og mobile websites alene i løbet af de sidste to uger.

Nogle af dem var meget alvorlige, fortæller han og tilføjer, at PayPals medarbejdere har reageret hver gang.

Det er ikke alle selskaber, der har råd til at udbetale dusører for rapportering af fejl.

Men der findes en lang række store virksomheder såsom eBay, Amazon, Sony og andre, der ifølge Avram kan og bør implementere sådanne programmer, især i lyset af at flere af dem tidligere har oplevet brud på datasikkerheden.

De slemme hackere

Visse hackere - de såkaldte black hats - misbruger de sårbarheder, de finder, til ulovlige formål.

Andre offentliggør dem på deres personlige blogs eller på andre offentligt tilgængelige websites for at blive et kendt navn i branchen.

Avram vurderer, at det er denne anden kategori af hackere, som programmer til udbetaling af dusører for rapportering af sårbarheder kan tiltrække.

Ligesom Google og Facebook har PayPal ifølge Avram indset, at det ikke rigtigt fungerer at bede sådanne folk om at rapportere de sikkerhedshuller, de finder, uden at der samtidig skabes et incitament.

Oversat af Thomas Bøndergaard

Event: Cyber Security Festival 2026

Sikkerhed | København

Mød Danmarks skrappeste it-sikkerhedseksperter og bliv klar til at planlægge og eksekvere en operationel og effektiv cybersikkerhedsstrategi, når vi åbner dørene for +1.700 it-professionelle. Du kan glæde dig til oplæg fra mere end 70 talere og møde mere end 50 leverandører over to dage.

18 & 19 november 2026 | Gratis deltagelse

Navnenyt fra it-Danmark

Steen Marquard,  Jabra, er pr. 15. juni 2026 udnævnt som Regional President for Norden og UK. Han er uddannet HD(O). Han beskæftiger sig med I sin nye rolle får Steen ansvar for at videreudvikle salget af virksomhedens professionelle lyd- og videoløsninger, samt styrke samarbejdet med channel teams og partnere på tværs af regionen. Udnævnelse
Alexander Hoffmann, SVP, Technology & IT hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Tech, IT & Security. Han skal fremover især beskæftige sig med at lede den fortsatte udvikling af en mere integreret og software-drevet infrastrukturplatform. Forfremmelse

Alexander Hoffmann

GlobalConnect

Netip A/S har pr. 1. maj 2026 ansat Michael Schou som Operations Manager ved netIP Aalborg og Aarhus. Han kommer fra en stilling som Senior Director - Head of IT hos BDO. Han har tidligere beskæftiget sig med flere områder indenfor IT-branchen, hvor han bla. også har drevet sin egen IT-virksomhed. Nyt job

Michael Schou

Netip A/S

Immeo har pr. 16. marts 2026 ansat Honey Arora som Senior Manager. Han kommer fra en stilling som Data Product Owner hos Centrica Energy. Nyt job

Honey Arora

Immeo