Мысль о том, что «Если пользователи найдут баги в нашей системе, то лучше заплатим им мы, чем они продадут информацию хакерам», которую довольно давно эксплуатируют Google, Facebook, Samsung, Mozilla также сочла удачной и платежная система PayPal.
Директор по информационной безопасности PayPal Майкл Баррет (Michael Barrett) объявил о том, что его компания начинает программу по выплате вознаграждений для независимых разработчиков, которые смогут обнаружить уязвимости в программном обеспечении или архитектуре платежной системы.
Компетентным пользователям (имеющим PayPal-аккаунт, поскольку именно на него будут выплачиваться вознаграждение) предлагается сообщить в компанию, если ими будет обнаружена одна из следующих уязвимостей: Cross-site scripting (XSS), cross-site request forgery (CSRF), SQL injection (SQLi), а также за описание возможности обойти механизм аутентификации пользователей на сайте системы.
Имеется нюанс — заранее о размере выплат не говорится. Каждый случай будет рассматриваться инженерной командой PayPal и, в зависимости от серьёзности рассматриваемого случая, будет приниматься конкретное решение о величине вознаграждения. В этом смысле Mozilla поступает честнее — фонд сразу декларирует, что разработчик получит сумму от $500 до $3000 за найденные баги в продуктах; аналогично поступает и Google — за рядовые уязвимости поисковый гигант платит по $500, однако за информацию об опасных дырах Google готов заплатить более значительную сумму — также $3000.
Читать полностью »