PayPal, een van de eerste bedrijven die een rapportage programma voor ‘bugs’ aan ging bieden heeft vorige week bekend gemaakt ook beloningen uit te gaan delen. In een blogpost maakte Michael Barrett, Chief information security officer, bekend dat hij er in eerste instantie niets in zag, maar de positieve ervaringen van andere internet giganten als Facebook, Google, Mozilla en Samsung hebben hem van gedachten doen veranderen.
“I originally had reservations about the idea of paying researchers for bug reports, but I am happy to admit that the data has shown me to be wrong – it’s clearly an effective way to increase researchers’ attention on Internet-based services and therefore find more potential issues.“
Hoe goed de deal wordt voor ‘witte-hat security researchers’ weet niemand omdat Barrett nog geen prijzen bekend heeft gemaakt. Maar PayPal zal vermoedelijk rekening houden met wat andere bedrijven bieden. Namelijk:
– In mei verhoogde Google de maximale beloning van $3.133 to $20.000 en voegde daar nog een betaling van $10.000 aan toe voor ‘SQL-injection bugs’.
– In 2010 verhoogde Mozilla het bedrag tot $3.000 voor iedere security bug.
– Facebook betaald minimaal $500 voor ieder beveiligingslek. Afgelopen zomer maakte Joe Sullivan, CSO van Facebook, bekend dat het bedrijf al meer dan $40.000 had uitbetaald in de eerste 3 weken dat de vergoedingen beschikbaar kwamen.
PayPal gebruikt hetzelfde beveiligde rapportage proces (met PGP-encryptie) dat voorheen gebruikt werd voor het onbetaald rapporten. Issues worden onderverdeeld in vier categorieën: XSS (Cross Site Scripting), CSRF (Cross Site Request Forgery), SQL Injection en Authentication Bypass.
