Scopre falla in PayPal, ma niente rimborso

Il suo nome è Robert Kugler ed è già noto nel mondo della sicurezza online. La sua storia, raccontata da IDG News, incappa però in un capitolo che fa discutere poiché, pur avendo segnalato a PayPal una grave vulnerabilità, il ragazzo non ha avuto accesso ai rimborsi promessi dal gruppo.

Il misfatto è datato 19 maggio 2013, il giorno in cui Kugler ha inviato a PayPal la segnalazione relativa ad una grave falla potenziale nel sistema di pagamento: una vulnerabilità di tipo cross-site scripting (XSS), qualcosa che avrebbe potuto offrire ad eventuali malintenzionati ampi margini per un attacco che, su strumenti come PayPal, si renderebbe immediatamente pericoloso. PayPal prevede per questo tipo di segnalazioni specifiche retribuzioni sulla base di un programma di remunerazione che incoraggia la collaborazione sui bug sulla falsa riga di quanto approntato anche da Google e Mozilla con gli hacker disposti a questo tipo di cooperazione.

PayPal, che prevede pagamenti minimi da 500 dollari per vulnerabilità, in questo caso ha però dovuto rispondere picche al ragazzo: la sua età, infatti, è minore di 18 anni ed il gruppo (benché la cosa a quanto pare non sia in realtà indicata specificatamente nella policy del programma di remunerazione) non effettua pagamenti a persone non ancora maggiorenni.

Kugler ha in passato ricevuto già varie migliaia di dollari a seguito di segnalazioni per problemi identificati in Firefox, ma in questo caso rimarrà a bocca asciutta: finché non compirà la maggiore età (il prossimo mese di marzo), PayPal non gli riconoscerà il ruolo di ricercatore abilitato al Bug Bounty Program. E con ogni probabilità fino a quel momento il ragazzo non riconoscerà più a PayPal il ruolo di azienda collaboratrice, meritevole di una segnalazione immediata e privata in caso di scoperta di nuove vulnerabilità.