PayPal betaalt hackers voor het opsporen van lekken

PayPal gaat hackers financieel belonen wanneer zij een lek vinden in hun onlinebetaalsysteem. Een vergoeding moet zogenoemde "ethical hackers", computerspecialisten met enkel goede bedoelingen, stimuleren nog harder op zoek te gaan naar zwakke punten. Op die manier hoopt het Amerikaanse bedrijf eventuele gaten in het systeem te kunnen dichten voordat ze breder bekend raken.

PayPal bood hackers al langer de gelegenheid om de zwaktes in hun product te melden - naar eigen zeggen als een van de eerste bedrijven - maar stelde daar tot dusver geen vergoeding tegenover. Volgens hoofd beveiliging Michael Barrett is PayPal nu de eerste financiële dienstverlener die externe hackers beloont voor het vinden van een lek. Dat meldt hij in een blogpost op de bedrijfswebsite.

Barrett bekent dat hij aanvankelijk weinig zag in het idee om "veiligheidsonderzoekers" te betalen voor gevonden fouten. "Maar de ervaringen van andere bedrijven die een vergelijkbare methode implementeerden, zoals Facebook, Google en Mozilla, zijn heel positief", aldus de veiligheidsman.

White Hat-programma
Zo maakte sociaalnetwerksite Facebook vorig jaar bekend minimaal 500 dollar (400 euro) te betalen voor elk veiligheidslek. Amper drie weken na het introduceren van dit zogenoemde "White Hat-programma" meldde veiligheidsdirecteur Joe Sullivan dat het bedrijf al meer dan 40 duizend dollar aan vergoedingen had uitbetaald.

Zulke beloningen vallen in het niets bij de bedragen die Google betaalt aan de vinders van zwakke plekken. Een maand geleden verhoogde de internetgigant de vergoeding voor het melden van een serieuze fout naar twintigduizend dollar. Ook heeft Google een eregalerij, die een overzicht geeft van alle gemelde fouten, met vergoedingen die oplopen tot zestigduizend dollar.

Over de hoogte van de beloningen van PayPal, doet Barrett geen uitspraken. Wel zegt het bedrijf pas te betalen nadat de problemen zijn opgelost en ook alleen als de hacker het lek niet onmiddellijk breder bekendmaakt. Bovendien moet een hacker kunnen aantonen dat hij geen schade aan de site heeft aangebracht en zorgvuldig is omgegaan met privacygevoelige informatie van de PayPal-klanten.

Gebruikersgegevens
Als financiële dienstverlener hecht PayPal, dat eigendom is van internetmarktplaats eBay, veel waarde aan de veiligheid van de gegevens van hun gebruikers, aldus Barrett. Met 6 miljoen transacties per dag was het bedrijf in 2011 verantwoordelijk voor bijna 80 miljard dollar aan betalingen. Dat is omgerekend iets minder dan 10 procent van al het geld dat vorig jaar wereldwijd werd uitgegeven aan online aankopen.

Overigens ziet lang niet elk bedrijf heil in het belonen van hackers voor de gevonden fouten. Zo zegt Microsoft alleen geld uit te geven aan het laten opsporen en veroordelen van beruchte hackers. Het softwarebedrijf stelde meerdere keren 250 duizend dollar beschikbaar voor informatie die leidde tot de arrestatie van criminele hackers.

Toch is het verbeteren van de beveiliging volgens de Nederlandse hacker en politiek activist Koen Martens een betere methode dan proberen iets aan de daders te doen. Hij vergelijkt het met het tegengaan van fietsendiefstal door het opstellen van een wet: dat iets verboden is, geeft nog geen garantie dat het niet gebeurt.

Anticiperen
"Bedrijven moeten veel proactiever zijn", aldus Martens. "De lekken in systemen worden toch wel gevonden. Het belonen van melders leidt ertoe dat ze veel éérder boven water komen. Daarmee verklein je de kans dat een crimineel ze vindt. Bovendien laat het hackers weten dat ze gaten vrij kunnen melden, zonder bang te hoeven zijn om vervolgd te worden."