PayPal verweigert einem Schüler Anerkennung für das Aufdecken einer Schwachstelle

Ein 17-jähriger Teenager behauptet, dass PayPal ihm eine Belohnung für das Auffinden einer Sicherheitslücke auf PayPals Webseite vorenthalte. Hacker hätten den Online-Bezahldienst PayPal hierüber sehr einfach angreifen können.

Robert Kugler erklärte, dass er den Online-Bezahldienst schon am 19. Mai 2013 über die anfällige Stelle informiert habe. Danach wurde er per Mail davon in Kenntnis gesetzt, dass er noch nicht volljährig sei und sich für das „Bug Bounty Program“ damit nicht qualifiziere.

Die eBay-Tochter PayPal hat die Bedingungen für sein Bug Bounty Program auf einer Webseite zusammengefasst, wobei von einer direkten Altersbegrenzung keine Rede ist. Allerdings ist in den Bestimmungen aufgeführt, dass man ein geprüftes PayPal-Konto besitzen muss, um am „Bug Bounty Program“ teilnehmen zu können. Einen PayPal-Account darf man jedoch erst ab 18 Jahren einrichten.

Ein Vielzahl an Konzernen wie beispielsweise Facebook oder Google, haben entsprechende Belohnungs-Programme. Das Ziel dieser Programme ist es, einen Anreiz zu bieten, die Unternehmen über Schwachstellen auf ihren Seiten zu infomieren. Je nach Schweregrad des Problems zahlt Google für das Auffinden eines Problems zwischen 100 und 20.000 US-Dollar, Facebook etwa 500 Dollar. PayPal hingegen gibt keinen Betrag an.

Der 17-jährige Kugler ist bei Microsoft schon in einer Liste als „Bug-Entdecker“ aufgeführt. Er hat bereits, so eigene Angaben, verschiedentlich Belohnungen für das Aufstöbern von Fehlern erhalten.

Da Kugler noch kein eigenes PayPal-Konto besitzt, bat er PayPal darum, Anerkennungen auf das Konto seiner Eltern zu überweisen.

Robert Kugler hat den Wunsch, dass PayPal ihm für das Auffinden der Schwachstelle wenigstens eine positive Rückmeldung zukommen lässt, die er vielleicht bei einer zukünftigen Bewerbung nutzen kann. Bis zum Zeitpunkt des Schreibens allerdings ist leider noch nichts passiert.