Nemrégiben mutattuk be, hogy a nagy online cégek hogyan vonnak be külső szakértőket rendszerük biztonságának megerősítésébe. A biztonsági résekre kitűzött vérdíjas módszer nem csak hatékonyabb, gazdaságosabb is a vég számára. Egyrészt a hibákat még azelőtt javítani lehet, mielőtt azt kiberbűnözök kihasználhatnák, másrészt jóval kisebb tesztelő apparátust kell fenntartani. Hogy csak a nagyokat említsük, a Mozilla, a Google, a Facebook és a PayPal mellett a Microsoft is bevon bizonyos projektekbe ilyen módon külsősöket.

A PayPal most azonban még egy nagy lépést tett előre. Egy egy éve bejelentett biztonsági programjának szabályzatát néhány napja megváltoztatta: immár a fiatalkorúak, azaz 18 év alattiak is beszállhatnak a biztonsági rések elleni küzdelembe.

A fiataloknak jobb a szemük... ■ A PayPal eddig csak akkor adott jutalmat egy feltárt hiba bejelentésért, ha annak felfedezője elmúlt 18 éves. Ez azonban már okozott problémát a cégnek. Idén májusban például egy Robert Kugler nevű német tanuló jelentett be egy sérülékenységet, amelyért azonban saját elmondása szerint nem kaphatott jutalmat, mert még nem töltötte be a 18. életévét. A PayPal viszont arra hivatkozott, hogy a német srác olyan hibát fedezett fel, amit korábban már ketten is bejelentettek a cégnél. A PayPal részben ennek az esetnek a hatására döntött úgy, hogy ezentúl a jutalmazás alsó korhatára 14 év lesz, és egyetlen további feltétel, hogy a bejelentett sebezhetőség valóban új és valós veszélyt jelentsen. (Az már kevésbé derül ki a cég közleményeiből, hogy mi történik, ha előáll majd egy 13 éves Kugler is egy általa felfedezett problémával...)

A PayPal jutalmazása egyébként a Google módszeréhez hasonlít leginkább: a jutalom nagysága a feltárt biztonsági rés veszélyességétől függ. Egy jogosulatlan, távoli kódfuttatást lehetővé tevő hiba 10 ezer dollárt ér. (Ehhez képest a Mozilla háromezer dollárral jutalmazza a veszélyes hibák feltáróit.)

Fontos forrás ■ A külsős hibavadászok nagyon fontos forrásai a PayPal biztonságáért felelős részlegének. Gus Anagnos, a PayPal információbiztonsági igazgatója ezért is hangsúlyozta egy nyilatkozatában, hogy a biztonsági program szabályzatát további pontokon is úgy módosították, hogy a működési, jutalmazási feltételek átláthatóbbak és pontosabbak legyenek.
 

Egyértelműbbé vált például, hogy a partneroldalak (www.paypal-*.com) sebezhetőségeiért kevesebbet fizetnek: a fentebb említett 10 ezer dollárral szemben ott egy jogosulatlan kódfuttatást lehetővé tevő rés mindössze 1500 dollárt ér. Az is új, hogy a jövőben nyilvánosságra hozzák a legsikeresebb biztonsági kutatók nevét, és negyedéves összesítéseket készítenek a rendszer keretében kifizetett jutalmakról. Ez további tehetségeket vonzhat a céghez, hiszen nem akármilyen referencia álláskeresésénél, ha valaki a PayPal biztonságát volt képes javítani.

_{(A cikk a Biztonságportálon megjelent írás szerkesztett változata.)}