Hacker descubre vulnerabilidad en PayPal

 

Un hacker encontró un vulnerabilidad en el sistema y lo informó a la empresa. Pero PayPal se niega a recompensarlo por que tiene 17 años. ¿Adiviná qué hizo en respuesta?

 

Un hacker alemán de 17 años, llamado Robert Kugler, encontró una vulnerabilidad en el sitio web de PayPal. Esta empresa tiene un programa (Bug Bounty Program) para el que postuló este hacker, como ha hecho en otras empresas de tecnología.

Según PayPal sólo los usuarios del sistema pueden ser parte del programa, y por tener 17 años, no es parte de PayPal, por lo que no puede recibir una recompensa.

Este programa insta a los usuarios del sistema de pagos online a que investiguen la web buscando vulnerabilidades y otorga un premio a aquellos usuarios que encuentren alguna. Robert es parte de este programa para el que la empresa no solicita un mínimo de edad. Pero según PayPal sólo los usuarios del sistema pueden ser parte del programa, y por tener 17 años, aunque haya sido parte del programa, descubierto una vulnerabilidad y la haya denunciado, no puede recibir una recompensa pues no puede ser usuario de PayPal.

¿Qué hizo Kugler? Publicó la vulnerabilidad en Internet, a través del sitio Seclists.org

Todo un rebusque legal utilizado por PayPal para evitar pagar una recompensa a nuestro hacker. ¿Qué hizo Kugler? Publicó la vulnerabilidad en Internet, a través del sitio Seclists.org, que se dedica a temas de seguridad. Según dijo en el sitio, no quería “reclamarle a PayPal acerca de sus métodos para ahorrar en su programa de recompensas, pero no es una buena idea cuando estás interesado en motivar a los investigadores de seguridad“.

PayPal ni siquiera le reconoció el descubrimiento del bug, por lo que no puede utilizarlo en su currículum.

Enojado por esta discriminación manifestó su disconformidad pues la empresa ni siquiera le reconoció el descubrimiento del bug, por lo que no puede utilizarlo en su currículum. El error descubierto no es para nada irrelevante ya que puede ser utilizado para obtener información crucial -como una contraseña- o causar daños utilizándolo.

Como también nos cae muy mal lo que hicieron con Robert y puede resultarte interesante para fines académicos, publicamos el error, aunque sin haber probado si funciona. La vulnerabilidad está presente sólo en la versión alemana de PayPal, se encuentra en la función search y podés activarla con éste código:

‘;alert(String.fromCharCode(88,83,83))//’;alert(String.fromCharCode(88,83,83))//”;
alert(String.fromCharCode(88,83,83))//”;alert(String.fromCharCode(88,83,83))//–
</SCRIPT>”>’><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>

Aquí podés probar si funciona: https://www.paypal.com/de/cgi-bin/searchscr?cmd=_sitewide-search

 

Es interesante una de las respuestas que obtiene al publicar el bug: parece que PayPal está enviando el mensaje de que es mejor vender el bug en privado lo que puede ser muy perjudicial para sus usuarios.

Si querés, mandale tu solidaridad a Robert, aquí te dejamos su correo.

image/svg+xmlTribuna Hacker existe gracias a

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *