PayPal ha anunciado recientemente el lanzamiento de un nuevo programa de recompensas de errores, pero se desconoce el límite determinado a la cantidad que la compañía pagará a los investigadores por informar sobre vulnerabilidades.

“En un principio tenía reservas sobre la idea de pagar a los investigadores por los informes de error, pero estoy feliz de admitir que los datos me han demostrado que estoy equivocado – es evidentemente una manera efectiva de aumentar la atención de los investigadores en servicios basados en Internet y por lo tanto encontrar más problemas potenciales” escribió en un blog la empresa CISO Michael Barrett.

White hat researchers pueden centrarse en cuatro categorías: XSS (Cross Site Scripting), CSRF (Cross Site Falsificación a petición), SQL Injection o Authentication Bypass“, escribe GigaOM’s Ryan Kim. “Después de enviar informes de error a través del PGP-encrypted reporting process, Pay Pal se dedicará a determinar la gravedad del problema y emitirá una corrección si es necesario. El primer investigador en descubrir un error desconocido será recompensado por parte de PP, que determinará la bounty amount (cantidad de recompensa). Y por supuesto, se pagará a través de PayPal.”

“PayPal, al igual que otros proveedores que tienen sistemas de recompensas de errores, pide a los investigadores que primero notifiquen a la compañía de la vulnerabilidad y le den un tiempo razonable en resolver el problema antes de revelarlo públicamente”, escribe Dennis Fisher de Threatpost.

“PayP al no ha establecido una cantidad de pago de recompensas, por lo que no queda claro cuánto ganarán los investigadores por sus servicios“, escribe PCMag.com ‘s Stephanie Miot. “Recientemente, Google aumentó enormemente sus pagos -desde 3.133 a 20.000 dólares-, mientras que Mozilla paga 3,000 dólares por cada error que un investigador de seguridad descubre. Facebook reportó una ganancia enorme de 40.000 dólares en las primeras semanas de su programa.”

VÍA: ESECURITYPLANET