Paypal มีโครงการให้จ่ายเงินรางวัลสำหรับการค้นพบช่องโหว่ความปลอดภัยมาเกือบหนึ่งปี มีการค้นพบบั๊กและจ่ายเงินไปบ้าง แต่บั๊กล่าสุดกลับมีปัญหาเพราะเงื่อนไขอายุของผู้พบบั๊กไม่ถึงเกณฑ์
Robert Kugler นักเรียนอายุ 17 ปี เป็นผู้พบบั๊กในช่องค้นหาของ Paypal
ที่สามารถใส่อินพุตเป็นจาวาสคริปต์เพื่อให้รันสคริปต์ได้ตามกำหนด
แต่ข้อกำหนดของทาง Paypal ระบุให้ผู้รับรางวัลได้จะต้องมีอายุอย่างต่ำ 18
ปีขึ้นไป ความรำคาญระเบียบข้อนี้ทำให้ Kugler นำบั๊กนี้ออกประกาศสู่สาธารณะ
บั๊กนี้ไม่สามารถทำงานได้บน WebKit
เพราะระบบกรองอินพุตของเบราว์เซอร์เองไม่ยอมส่งอินพุตที่เป็นสคริปต์เช่นนี้ไปยังเซิร์ฟเวอร์ แต่เบราว์เซอร์อื่นๆ เช่น Firefox, IE, และ Opera
นั้นจะเสี่ยงต่อบั๊กนี้
update: ผมพบว่าผมเข้าใจตัวข่าวผิด
และเขียนข่าวในตอนแรกชี้นำผิดไปนะครับ Kugler ไม่ได้ติดต่อ Paypal
ก่อนเปิดเผยบั๊ก
แต่บ่นว่ากติกาบนหน้าเว็บของโครงการทำให้เขาไม่สามารถเข้าร่วมได้
จึงเปิดเผยบั๊กนี้ออกมา
update2: Kugler ออกมาเปิดเผยอีเมลระหว่างเขาและ Paypal
แสดงให้เห็นว่าเขาได้ติดต่อ Paypal ไปแล้วล่วงหน้าหลายสัปดาห์ แต่ทาง
Paypal ปฎิเสธที่จะยอมรับว่าเขาเป็นผู้ค้นพบช่องโหว่นี้
รวมถึงปฎิเสธไม่ยอมจ่ายเงินผ่านบัญชีของพ่อของเขา
update3: ตอนนี้ Paypal
ก็ออกมาชี้แจงปัญหาว่าบั๊กนี้มีการค้นพบมาก่อนแล้วโดยนักวิจัยอื่น ทำให้ไม่สามารถจ่ายรางวัลให้กับ Kugler ได้เพราะจะจ่ายให้กับผู้พบคนแรกเท่านั้น
ที่มา: Blognone
ไม่มีความคิดเห็น:
แสดงความคิดเห็น