PayPal отказался платить несовершеннолетнему за данные про уязвимость

По утверждению 17–летнего немецкого студента, платежная системa PayPal отказывается выплачивать ему вознаграждение за поиск уязвимостей в рамках объявленной ранее программы Bug Bounty Programm.

По словам Роберта, он передал данные об уязвимости в PayPal 19 мая, однако вскоре получил сообщение по электронной почте о том, что он не получит денежного вознаграждения, так как ему нет 18 лет и он не может принимать участия в программе поиска багов.

Компания PayPal разместила условия и положения программы вознаграждения о багах у себя на сайте, однако в основном тексте соглашения нет указания на возраст участников. Пресс–служба PayPal случай с невыплатой не комментирует.

Между тем, на сегодня многие ИТ–компании, в частности Google и Facebook, имеют программы вознаграждения, нацеленные на создание более безопасной программной начинки, а также привлечение независимых разработчиков к тестированию и совершенствованию популярных ресурсов. Так, соцсеть Facebook платит за баги от 500 долларов, тогда как диапазон выплат Google колеблется в диапазоне от 100 до 20 000 долларов, в зависимости от опасности бага. Ни один из них не делает ограничений по возрасту участников программы. Microsoft не платит за уязвимости, но публично признает их наличие и заявляет о работе над исправлениями. В PayPal не публикуют данных о том, какие разработчики уже получили вознаграждение. Немецкий студент говорит, что ранее он принимал участие в программах по поиску уявзисмостей от Mozilla и получил 1500 долларов в 2012 году и около 3000 долларов в 2011 году. В PayPal требуют, чтобы выплаты проводились на верифицированный аккаунт в их же платежной системе.

Куглер говорит, что он просил компанию перевести вознаграждение на счет в PayPal, принадлежащий его родителям, но пока не получил ничего от PayPal за свою работу. Также он отметил, что передал компании данные об XSS–уязвимости на ее сайте. Сейчас данные об уязвимости размещены на Seclists.org, но сама уязвимость на сайте PayPal уже устранена.