PayPal отказался платить несовершеннолетнему за данные про уязвимость

17-летний немецкий студент утверждает, что платежная системa PayPal отказывается выплачивать ему вознаграждение за поиск уязвимостей в рамках объявленой ранее программы Bug Bounty Programm. Роберт Куглер говорит, что он передал данные об уязвимости в PayPal 19 мая, однако вскоре получил сообщение по электронной почте о том, что он не получит денежного вознаграждения, так как ему нет 18 лет и он не может принимать участия в программе поиска багов. 18 лет студенту исполняется только в следующем марте, пишет CyberSecurity.ru.

Компания PayPal, принадлежащая интернет-аукциону Ebay, разместила условия и положения программы вознаграждения о багах у себя на сайте, однако в основном тексте соглашения нет указания на возраст участников. Пресс-служба PayPal случай с невыплатой не комментирует.

Отметим, что на сегодня многие ИТ-компании, в частности Google и Facebook, имеют программы вознаграждения. Они имеют своей целью создание более безопасной программной начинки, а также привлечение независимых разработчиков к тестированию и совершенствованию популярных ресурсов. Так, соцсеть Facebook платит за баги от 500 долларов, тогда как диапазон выплат Google колеблется в диапазоне от 100 до 20 000 долларов, в зависимости от опасности бага. Ни один из них не делает ограничений по возрасту участников программы. Microsoft не платит за уязвимости, но публично признает их наличие и заявляет о работе над исправлениями. В PayPal не публикуют данных о том, какие разработчики уже получили вознаграждение.

Немецкий студент говорит, что ранее он принимал участие в программах по поиску уявзисмостей от Mozilla и получил 1500 долларов в 2012 году и около 3000 долларов в 2011 году.

В PayPal требуют, чтобы выплаты проводились на верифицированный аккаунт в их же платежной системе. Куглер говорит, что он просил компанию перевести вознаграждение на счет в PayPal, принадлежащий его родителям. Студент пишет, что он пока не получил ничего от PayPal за свою работу.

Также он отметил, что передал компании данные об XSS-уязвимости на ее сайте. Сейчас данные об уязвимости размещены на Seclists.org, но сама уязвимость на сайте PayPal уже устранена.