Robert Kugler, seorang siswa 17 tahun berkebangsaan Jerman tidak mendapat apapun setelah menemukan vulnerability pada PayPal. Pasalnya PayPal menyangkal memberikan hadiah karena Kugler masih di bawah 18 tahun. Kugler memperoleh informasi tersebut melalui email, bahwa ia tidak memenuhi syarat usia untuk Bug Bounty Program.
Peringatan untuk vulnerability PayPal telah dilayangkan oleh Kugler pada 19 Mei. Ia menulis difulldisclosure,I would like to warn you that PayPal.com is vulnerable to a Cross-SiteScripting vulnerability!
Vulnerabilitytersebut memungkinkan situs lain bekerja, sehingga dapat digunakan untuk mencuri informasi atau mengeksekusi malicious code lainnya.
PayPal yang dimiliki oleh situs jual beli eBay memang menerangkan Bug Bounty Program di situsnya, tetapi tidak menyinggung persyaratan usia. Thehackernews.com menulis bahwa PayPal sebelumnya memang selalu berkelit untuk memberikan hadiah dengan banyak alasan, seperti already report by someone else, domain/sub domain is not under bounty program, we run out off bounty program budget this year, dan sekarang ini because the teen is not yet 18 years old.
Bug Bounty programialah program yang juga dijalankan pada perusahaan seperti Facebook dan Google. Tujuannya untuk mendorong peneliti, baik pribadi maupun vendor, menginfokan vulnerability sebelum penyerang memanfaatkan kesempatan.
Google membayar dari 100 hingga 20.000 dolar untuk penemu vulnerability tergantung dari level isu keamanan, sementara Facebook membayar 500 dolar untuk bug yang berhasil didapatkan. Dan tak satu pun yang menyaratkan batasan usia pada situsnya. Sementara Microsoft tidak memberikan bayaran, melainkan memberikan pengakuan secara publik atas kerja penelitian keamanan.
Kugler sendiri telah mendapatkan pengakuan sebagai kontributor Microsoft sejak April 2013. Ia juga mendapatkan hadiah sebesar 1.500 dolar karena menemukan vulnerability pada Mozilla dan sebelumnya sebesar 3.000 dolar untuk bug yang lain.
PayPal menyaratkan seorang yang melaporkan vulnerability harus memiliki akun PayPaldanKugler memang tidak memilikinya, tetapi orang tuanya punya.
Seharusnya dari temuan vulnerability PayPal paling minimal Kugler mendapat pengakuan secara publik, namun hingga kini ia tidak mendapat apapun.
Sumber: Ciso