Robert Kugler, un alemán de 17 años, ha descubierto un grave fallo de seguridad en Paypal. La empresa, lejos de recompensar al estudiante a través de su programa oficial de caza de bugs, le "descalificó"
después de haber reportado el fallo, que finalmente ha hecho público.
No es el primer desliz de Paypal con respecto a los investigadores.
Robert Kugler ha descubierto un clásico problema de Cross Site Scripting en el buscador de Paypal.
En una web de esta categoría, un XSS puede resultar extremadamente
serio, puesto que permitiría a atacantes engañar a los usuarios de una
manera mucho más sofisticada.
Kugler quiso acogerse al programa de recompensas de Paypal, que anima a
la investigación responsable de vulnerabilidades premiando
económicamente a los usuarios que encuentren fallos de seguridad. Así
motivan un uso responsable de las vulnerabilidades. Mozilla, Google y
otros agentes externos que funcionan como intermediarios, actúan de esta
forma con éxito desde que se pusiera de moda hace unos años.
Kluger recibió sin embargo un email afirmando que
su descubrimiento no optaba al premio por tener 17 años. Finalmente
ha publicado el problema en Full Disclosure, quejándose de la situación. Kluger afirma que la respuesta de Paypal fue:
"To be eligible for the Bug Bounty Program, you
must not: ... Be less than 18 years of age. If PayPal discovers that a
researcher does not meet any of the criteria above, PayPal will remove
that researcher from the Bug Bounty Program and disqualify them from
receiving any bounty payments."
Pero parece que esto le fue comunicado en privado, puesto que
públicamente no se pueden encontrar fácilmente esas restricciones en
ninguna página oficial de Paypal ni parece que nunca se haya impuesto públicamente esta restricción.
El investigador en desventaja
Poner restricciones a la entregas de premios después de haber recibido
la información es una práctica que, cuando menos, coloca al investigador
en desventaja. No conoce las reglas del juego completas hasta que ha
enseñado sus cartas (el código vulnerable) a la compañía. Esta, que ya
puede arreglar el fallo (en última instancia, es lo que les interesa),
decide entonces que los menores de edad no pueden recibir un premio.
Si
se tratase de una cuestión legal, existen innumerables formas de
sortear el inconveniente, como pedir permiso a sus tutores legales o
compensar de otras formas. Pero la realidad es que se ha rechazado a la
persona que encuentra un fallo que perfectamente encaja en la dinámica y
reglas propuestas por Paypal, por una cuestión
"menor" como es la edad... y esto deja en clara desventaja al usuario y da muy mala imagen a Paypal, que
no es la primera vez que se ve criticada por otros aspirantes a la recompensa. Se han conocido otros problemas sufridos por investigadores para que la compañía realmente les pague por sus vulnerabilidades.
El investigador de seguridad informática es habitualmente joven, y la
experiencia demuestra que suele elucubrar sus mejores ideas o potenciar
sus habilidades durante su adolescencia. Imponer una restricción de edad
como si la "inmadurez legal" fuese un obstáculo técnico en el mundo de
la seguridad, no puede más que interpretarse como una excusa por parte
de la compañía y una puesta en evidencia de un programa de recompensas
que, si bien ha resultado una buena idea en general para todas las
empresas que lo han puesto en marcha, Paypal en concreto parece
gestionar de forma discutible. O al menos, no parece que le esté
otorgando el rédito en buena imagen que, como efecto colateral, también
se busca con estas iniciativas.
Fuente http://unaaldia.hispasec.com
