Hiển thị các bài đăng có nhãn Bug. Hiển thị tất cả bài đăng
Hiển thị các bài đăng có nhãn Bug. Hiển thị tất cả bài đăng

Bug Bounty – Paypal có chơi đẹp?

Bug Bounty là chương trình tìm kiếm lỗ hổng bảo mật và thông báo cho đơn vị tổ chức và nhận giải thưởng. Các lỗ hổng tìm được sẽ được cung cấp duy nhất cho nhà tổ chức.
Nhiều trang web nổi tiếng như Facebook, Google, Paypal, Mozilla, Barracuda Networks chi hàng nghìn USD để trao giải thưởng cho các hacker tìm ra lỗi.

Paypal Bug Bounty là cuộc thi được giới bảo mật quan tâm đánh giá cao. Tuy nhiên đã có những khúc mắc quanh cuộc thi này và người tham gia đang đặt câu hỏi liệu Paypal có chơi đẹp ?
Hầu hết các lỗ hổng được thông báo là XSS, Cross Site Scripting. Như vậy sẽ có trường hợp thông báo  trùng lỗi đã có người báo. Tuy nhiên nếu bạn là người đầu tiên, nhà tổ chức vẫn trả lời như vậy liệu bạn có thể làm gì được không ? Câu trả lời là không.

Tương tự như thế, trong năm nay, hacker  Mohit Kumar đã thông báo cho Facebook và Google 17 lần, và nhận được thông báo là họ đã biết lỗi này rồi, bạn không đủ tiêu chuẩn nhận tiền thưởng. Lạ là ở chỗ nếu họ đã biết rồi thì tại sao lỗi vẫn xảy ra?
Paypal là trang web cung cấp dịch vụ thanh toán thương mại điện tử lớn trên thế giới. Họ cũng vừa tổ chức Bug Bounty và rất nhiều hacker đã tham gia. Hacker Christy  và hacker  Philip Mathew đã phát hiện ra 8 lỗ hổng trong hệ thống Paypal, và nhận được thông báo 6 trong số các lỗi đó đã được thông báo trước đây không nằm trong chương trình.

Kèm theo đó là câu trả lời rằng họ không được nhận tiền thưởng, vì phần thưởng chỉ dành cho người đầu tiên tìm ra lỗi. Tuy nhiên khi muốn có thông tin để trao đổi với người tìm ra lỗi thì Paypal lại không cung cấp.

paypal-xss

Lỗi XSS này được báo cáo ngày 12/10/2012, tuy nhiên mãi đến 16/10/2012 Paypal mới phản hồi với nội dung như trên. Có thể họ dùng thời gian đó để suy nghĩ có nên trao thưởng cho những người này hay không.
iframe-paypal-security

Tương tự lỗi Iframe được báo ngày 10/10/2012 và nhận được phản hồi ngày 07/11/2012. Khoảng thời gian gần một tháng đó đủ để Paypal cân đối ngân sách và đưa ra quyết định không trao thưởng.
Các trang web, cộng đồng hacker đang thảo luận rất xôn xao về vụ việc này. Liệu đây có phải là cách để Paypal tiết kiệm tốt hay lại gây thù chuốc oán với các hacker?

Xem Thêm

 

Copyright © Dương-UG Blog's - Nguyễn Bình Dương