Avevamo già parlato di come Google avesse deciso di premiare gli hacker capaci di bucare Chrome; ma quella di istituire una sorta di concorso a premi votato a scoprire quanti più problemi possibile è in realtà una pratica piuttosto comune per le grandi aziende, e non sono pochi i casi in cui proprio grazie a queste iniziative si sono scoperte falle di sicurezza anche molto gravi.
Anche Paypal ha deciso di seguire questa strategia, ed ha reso nota l'intenzione di premiare con cifre variabili chiunque si dimostri in grado di aggirare le protezioni del sito.
I temerari che oseranno sfidare le misure di sicurezza di Paypal potranno scegliere una delle quattro tipologie di attacco più utilizzate dagli hacker:
- Cross Site Scripting (ovvero inserire codice malevolo all'interno dell'input dato al sito)
- Cross Site Request Forgery (inserire codice malevolo nelle chiamate http dirette verso il sito)
- SQL Injection (inserire codice malevolo all'interno delle chiamate SQL dirette verso il sito)
- Authentication Bypass (entrare in un account eludendo il meccanismo di autenticazione)
Una volta scoperto il bug all'attaccante non resterà altro da fare che spiegarne i dettagli in un apposita pagina criptata, anche se a voler essere maligni la probabilità che chi riesca a scoprire il modo per attaccare Paypal possa in realtà tenersi per sè i dettagli e sfruttarli a proprio vantaggio è tutt'altro che remota.
L'ipotesi si fa più concreta se si pensa che l'azienda non ha definito nel dettaglio i premi, riservandosi di pagare una cifra proporzionata al tempo che è stato necessario all'hacker per scoprire il bug ed al tempo impiegato dall'azienda per correggerlo.
Un comportamento simile non incoraggia di certo l'onestà altrui (nessuno fa un lavoro senza sapere quale sarà il compenso, e Paypal che si fa pagare una percentuale su ogni transazione che gestisce dovrebbe saperlo). Il pericolo che qualcuno possa utilizzare in modo criminale la sua scoperta è sempre alto: a Paypal e agli smanettoni non resta che fidarsi reciprocamente.