Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes

Administrador Prof. Claudio Enrique Alonso Alvite

« Blog

« Vulnerabilidades en Windows 7/8, OSX, Sm...

29 de Mayo, 2013 □ General

Paypal no paga por un fallo de seguridad descubierto por un chico de 17 años

Robert Kugler, un alemán de 17 años, ha descubierto un grave fallo de seguridad en Paypal. La empresa, lejos de recompensar al estudiante a través de su programa oficial de caza de bugs, le "descalificó" después de haber reportado el fallo, que finalmente ha hecho público. No es el primer desliz de Paypal con respecto a los investigadores.

Robert Kugler ha descubierto un clásico problema de Cross Site Scripting en el buscador de Paypal. En una web de esta categoría, un XSS puede resultar extremadamente serio, puesto que permitiría a atacantes engañar a los usuarios de una manera mucho más sofisticada.

http://picturepush.com/public/13144090

Kugler quiso acogerse al programa de recompensas de Paypal, que anima a la investigación responsable de vulnerabilidades premiando económicamente a los usuarios que encuentren fallos de seguridad. Así motivan un uso responsable de las vulnerabilidades. Mozilla, Google y otros agentes externos que funcionan como intermediarios, actúan de esta forma con éxito desde que se pusiera de moda hace unos años.

Kluger recibió sin embargo un email afirmando que su descubrimiento no optaba al premio por tener 17 años. Finalmente ha publicado el problema en Full Disclosure, quejándose de la situación. Kluger afirma que la respuesta de Paypal fue:

"To be eligible for the Bug Bounty Program, you must not: ... Be less than 18 years of age. If PayPal discovers that a researcher does not meet any of the criteria above, PayPal will remove that researcher from the Bug Bounty Program and disqualify them from receiving any bounty payments."

Pero parece que esto le fue comunicado en privado, puesto que públicamente no se pueden encontrar fácilmente esas restricciones en ninguna página oficial de Paypal ni parece que nunca se haya impuesto públicamente esta restricción.

El investigador en desventaja

Poner restricciones a la entregas de premios después de haber recibido la información es una práctica que, cuando menos, coloca al investigador en desventaja. No conoce las reglas del juego completas hasta que ha enseñado sus cartas (el código vulnerable) a la compañía. Esta, que ya puede arreglar el fallo (en última instancia, es lo que les interesa), decide entonces que los menores de edad no pueden recibir un premio.

Si se tratase de una cuestión legal, existen innumerables formas de sortear el inconveniente, como pedir permiso a sus tutores legales o compensar de otras formas. Pero la realidad es que se ha rechazado a la persona que encuentra un fallo que perfectamente encaja en la dinámica y reglas propuestas por Paypal, por una cuestión "menor" como es la edad... y esto deja en clara desventaja al usuario y da muy mala imagen a Paypal, que no es la primera vez que se ve criticada por otros aspirantes a la recompensa. Se han conocido otros problemas sufridos por investigadores para que la compañía realmente les pague por sus vulnerabilidades.

Otras empresas como Mozilla, llegaron a pagar 3.000 dólares a un chico de 12 años por encontrar un grave fallo de seguridad en el navegador. Cim Stordal, de 15 años, ha descubierto ya fallos en Facebook, Chrome... y en la mayoría de los programas ha sido aceptado y recompensado.

El investigador de seguridad informática es habitualmente joven, y la experiencia demuestra que suele elucubrar sus mejores ideas o potenciar sus habilidades durante su adolescencia. Imponer una restricción de edad como si la "inmadurez legal" fuese un obstáculo técnico en el mundo de la seguridad, no puede más que interpretarse como una excusa por parte de la compañía y una puesta en evidencia de un programa de recompensas que, si bien ha resultado una buena idea en general para todas las empresas que lo han puesto en marcha, Paypal en concreto parece gestionar de forma discutible. O al menos, no parece que le esté otorgando el rédito en buena imagen que, como efecto colateral, también se busca con estas iniciativas.

Fuente http://unaaldia.hispasec.com

fallo

publicado por alonsoclaudio a las 17:08 · 1 Comentario · Recomendar

Más sobre este tema · Participar

· El software que usa Stephen Hawking para comunicarse ya está disponible para todos

· Actualizaciones de seguridad para Wireshark

· La nueva versión Marshmallow de Android nunca llegará a los dispositivos existentes

· Los SSD más rápidos de la historia llegarán en 2016 de la mano de Intel

· Una navaja suiza para la conversión online de archivos

· Empleados gubernamentales (GOB.AR) que (posiblemente) ingresaron a Ashley Madison

Comentarios (1) · Enviar comentario

REVISALIBERENLOSYAENELBOTONFOROLOESCRIBIMOSDEESTAMANERAPORQUEHAYUNSOFTWAREQUELEEELTEXTOYBORRAINFORMACIONENAGENCIASDEINTELIGENCIA.
ASESINATOS MASIVOS VENEZUELA http://www.liberenlosya.com/foros/?mingleforumaction=viewforum&f=1.0
ESTAMOS PUBLICANDO LAS DENUNCIAS PERO TIENEN UN SOFTWARE QUE ENTRA EN LE SERVIDOR, RECONOCEN LAS DENUNCIAS (TEXTO), LAS ELIMINA.

WEB MASTER LAS PUDIESE DEJAR ESTAN IRRADIANDO A LAS VICTIMAS.
LAS DENUNCIAS A LA DIM, CEBIN, DISIP, Y EL GERENTE DE LA AGENCIA DE INTELIGENCIA DE VENEZUELA, HUGO CARVAJAL QUIENES VENDEN HUMANOS PARA ESTOS CRIMENES, QUE HACEMOS LAS REALIZAMOS MIENTRAS NOS CAUTERIZA, IRRADIAN Y PRODUCEN DAÑOS GENETICOS.

SCREEN CAPTURE PAGINA HACKEADA.

https://docs.google.com/document/d/1ia8acIswaBT7Qwrm-l-XlriN4aGD1H01PHwtgycE6SY/edit?usp=sharing

HICIMOS ESTA PUBLICACIÓN TRATANDO QUE NOS CONTACTARA EL FBI, INTERPOL, EUROPOL, FDA, LA DEA, FCPA Y MC NAMARA, TRATANDO QUE SE PRESENTEN EN TRIBUNALES Y AYUDARAN A LAS VICTIMAS, PERO EVITAN LAS LEYES. LOS VENEZOLANO Y JUAN CARLOS VALLEJOS NO JUGAMOS CON LA VIDA DE NUESTROS HIJOS.

EN ELLA INCLUIMOS EL USO DE SATÉLITES PARA RADIACIONES Y NANO COMPUTADORAS EN ALIMENTOS BEBIDAS Y MEDICINAS DE DIFERENTES PAISES PARA REALIZAR CRÍMENES.

LO HEMOS DENUNCIADO EN EL FBI, INTERPOL, EUROPOL, EL CENTRO CARTER Y NO HACEN LA DENUNCIA POR ESTOS CRÍMENES.

AHORA LOS DENUNCIAMOS EN EL BLOG DE LA DEA AQUÍ ESTA LA URL.

El presidente de japon realiza los crimenes entre ellos robo de informacion y tecnologias para utilizarse en la corp toyota con la jacuza.

SE CONECTAN DESDE JAPON, CHINA EUROPA INGLATERRA, ALEMANIA, RUSIA, SUIZA, ESPAÑA, CANADA, EU, CENTRO AMERICA, SUR AMERICA.

SON CASOS ESPECIALES EN LOS QUE PRESIDENTES FIRMAN ACUERDOS PARA OBTENER INFORMACION BIOLOGICA, GENETICA Y OBTENER INFORMACION DE MODELOS DE NEGOCIOS.

EN LOS QUE SE REALIZAN CONTRATOS ENTRE AGENCIAS, POLITICOS Y ESTADOS.

DENUNCIA DE CASINOS HUMANOS FDA - DEA

https://docs.google.com/document/d/1lpesNs8VMrhOX3l9BuibDS08v2cXnRxS2O11nchrwWw/edit?usp=sharing

DENUNCIA DE CASINOS HUMANOS FCPA

https://docs.google.com/document/d/1t5Oq7BI9jeytb95gKwc4iqww6P-b7vz_HtnQUmnww8Y/edit?usp=sharing

https://docs.google.com/document/d/1FRUgMsxa1I1ljMApbrE6AoFifJGRSQsEUb372WS2sPU/edit?usp=sharing

DENUNCIA DE CASINO HUMANOS EUROPOL

https://docs.google.com/document/d/1lpesns8vmrhox3l9buibds08v2cxnrxs2o11nchrwww/edit?usp=sharing

REVISEN LA PAGINA WWW.LIBERENLOSYA.COM EN EL BOTON FOROS.

publicado por Gdfgsdfg, el 02.06.2013 04:56

CALENDARIO

Febrero 2025

BUSCADOR

Blog Web

TÓPICOS

» General (2606)

NUBE DE TAGS [?]

SECCIONES

» Inicio

» Archivo histórico

» Contacto

» Feeds RSS

ENLACES

MÁS LEÍDOS

» Analizando el LiveBox 2.1 de Orange

» Cómo espiar WhatsApp

» Detectando tráfico de conexiones HTTP inversas de Meterpreter (Snort)

» Ejecución remota de código arbitrario en OpenSSH

» Ganar dinero con 1.200 Millones de identidades robadas

» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora

» Redes de la Deep Web: CJDNS y la Red Hyperboria

» Un Script de Facebook para ganar dinero (fraude)

» Unidad Central de Procesamiento CPU

» Wassap, la aplicación que permite usar WhatsApp desde la PC

SE COMENTA...

» Países latinos que usaban Hacking Team

2 Comentarios: 토토먹튀, 툰코주소

» XSSPOSED: El archivo de los bugs XSS en Internet

3 Comentarios: Srichakra, srichakra, srichakra

» Cómo espiar WhatsApp

595 Comentarios: Scott, Scott, Jarlinson mercy, [...] ...

» Qué hacer ante el robo de un teléfono móvil o una tableta

2 Comentarios: best buy security cameras swann, best buy security cameras swann

» Espiando usuarios gracias a la vulnerabilidad en cámaras TRENDnet

1 Comentario: Coin

SOBRE MÍ

Prof. Claudio Enrique Alonso Alvite

» Ver perfil

AL MARGEN

Escuela de Educacion Secundaria Tecnica N 8 de Quilmes

(Técnicos en Informática Personal y Profesional)

FULLServices Network | Blogger | Privacidad