PayPal es la última empresa en ofrecer incentivos económicos a investigadores externos, aunque es la primera de la categoría de servicios financieros que emplea una estrategia que ya utilizan con éxito compañías como Google, Mozilla, Facebook, Barracuda u otras. Google, por ejemplo, ha pagado más de 400.000 dólares desde el inicio de su programa. Una cantidad que se considera muy barata ante la gran cantidad de problemas de seguridad resueltas pro-activamente especialmente en el navegador Chrome.

Sólo hay cuatro tipos de vulnerabilidades incluidas en el programa de PayPal: XSS, CSRF/XSRF, SQL inyección y Authentication bypass. No se ha facilitado públicamente la cantidad económica a pagar que será determinada según gravedad por el departamento de seguridad de la compañía.

Como el resto de empresas que tienen activos este tipo de programas, PayPal pide a los investigadores que le notifiquen en primer lugar la vulnerabilidad y le otorguen un tiempo razonable para resolver el problema antes de su divulgación pública.

Fuente: muyseguridad