Paypal มี โครงการให้จ่ายเงินรางวัล สำหรับการค้นพบช่องโหว่ความปลอดภัยมาเกือบหนึ่งปี มีการ ค้นพบบั๊กและจ่ายเงินไปบ้าง แต่บั๊กล่าสุดกลับมีปัญหาเพราะเงื่อนไขอายุของผู้พบบั๊กไม่ถึงเกณฑ์
Robert Kugler นักเรียนอายุ 17 ปีเป็นผู้พบบั๊กในช่องค้นหาของ Paypal ที่สามารถใส่อินพุตเป็นจาวาสคริปต์เพื่อให้รันสคริปต์ได้ตามกำหนด แต่ข้อกำหนดของทาง Paypal ระบุให้ผู้รับรางวัลได้จะต้องมีอายุอย่างต่ำ 18 ปีขึ้นไป ความรำคาญระเบียบข้อนี้ทำให้ Kugler นำบั๊กนี้ออกประกาศสู่สาธารณะ
บั๊กนี้ไม่สามารถทำงานได้บน WebKit เพราะระบบกรองอินพุตของเบราว์เซอร์เองไม่ยอมส่งอินพุตที่เป็นสคริปต์เช่นนี้ไปยังเซิร์ฟเวอร์ แต่เบราว์เซอร์อื่นๆ เช่น ไฟร์ฟอกซ์, IE, และ Opera นั้นจะเสี่ยงต่อบั๊กนี้
update: ผมพบว่าผมเข้าใจตัวข่าวผิด และเขียนข่าวในตอนแรกชี้นำผิดไปนะครับ Kugler ไม่ได้ติดต่อ Paypal ก่อนเปิดเผยบั๊ก แต่บ่นว่ากติกาบนหน้าเว็บของโครงการทำให้เขาไม่สามารถเข้าร่วมได้ จึงเปิดเผยบั๊กนี้ออกมา
update2: Kugler ออกมาเปิดเผยอีเมลระหว่างเขาและ Paypal แสดงให้เห็นว่าเขาได้ติดต่อ Paypal ไปแล้วล่วงหน้าหลายสัปดาห์ แต่ทาง Paypal ปฎิเสธที่จะยอมรับว่าเขาเป็นผู้ค้นพบช่องโหว่นี้ รวมถึงปฎิเสธไม่ยอมจ่ายเงินผ่านบัญชีของพ่อของเขา
ที่มา - Heise (ภาษาเยอรมัน) , Seclist
Comments
เป็นเด็กห้ามฉลาดสินะ แบบนี้พวกเด็กเทพ ยำ paypal เละ
แหม เก่งแล้วยังต้องรออายุด้วย แบบนี้ต้องห้ามเก่งเกินอายุสินะ
ผมว่าเป็นประเด็นด้านกฎหมายนะ
ที่ีจริงเรียกพ่อมาคุยก็จบละ
ผมว่ามันคงเลยจุดนั้นมาแล้วล่ะคับซึ่งก็ไม่รู้ว่าทำไมจึงคุยกันไม่ลงตัวแล้วออกมาอีหรอบนี้
ช่างไฟสมัครเล่น (- -")
+1 เห็นด้วยครับ ให้พ่อหรือแม่มาเซ็นรับก็คงได้
การให้กับผู้เยาว์เป็น โมฆียะ นี่ครับ ถือว่ามีผลทางกฎหมายโดยสมบูรณ์ ถึงแม้จะฟ้องล้างในภายหลังได้ก็ตาม(ซึ่งคงไม่มีคนฟ้อง - -")
ผมว่ามันไม่มีเหตุอะไรทางกฎหมายที่จะไม่ให้นะครับ
Russia is just nazi who accuse the others for being nazi.someone once said : ผมก็ด่าของผมอยู่นะ :)
จ่ายไม่ได้เพราะยังไม่บรรลุนิติภาวะมั๊งครับ อาจจะจ่ายให้ผู้ปกครองแทน
เอาเหตุผลเรื่องอายุ มาจำกัดสิทธิ์ นี่มันยังไงเนี่ย เบี้ยวเด็ก ?
=_= Fee ก็เก็บเยอะ แล้วยังจะ
Blognone = 138.1 news/w เยอะมากๆ
Paypal มาอยู่ในไทยได้เลยนะ -..-
my blog
ทำไมต้องกำหนดอายุด้วย ไม่ใช่เหล้า บุหรี่ หนังโป๊สักหน่อย ถ้าให้เด็กไม่ได้ก็ให้ผู้ปกครองสิครับ เป็นผมขอจองตัวมาทำงานไว้เลย
พึ่งลองมายังไม่แก้เลยฮะ
กฎก็เรื่องกฎ ใจก็เรื่องใจถ้าผิดกฎอยู่บ้าง แต่ใจจะให้..คนเรามันหาวิธีได้อยู่แล้ว อยู่ที่จะให้หรือเปล่า...
ไม่ต่างอะไรกับตั้งกฏว่า รางวัลจะมอบให้คนผิวขาวเท่านั้น ห้ามเป็นคนผิวดำหรือชาวเอเชียโดยเด็ดขาดมันเป็นกฏที่ไม่สร้างสรรค์เลย
ผมว่าไม่ค่อยเกี่ยวกับกฏการเหยียดผิวนะครับ ผมว่าอันนี้มันน่าจะเป็นแค่ข้อห้าม
ซึ่งเด็กที่ได้รับเงินอาจยังไม่บรรลุนิติภาวะ หรือ อาจจะมีความเสี่ยงในการใช้เงินในทางที่ไม่ถูกไม่ควร
ซึ่งคนที่รับผิดชอบก็อาจจะตกเป็น Paypal ไปในปริยาย
ผมว่าไม่เหมือน คนเอเชียไม่มีทางเป็นคนผิวขาวได้ แต่เด็ก 17 ปีหน้าก็หลุดจากการเแป็นเยาวชนแล้ว
น่าจะติดขัดเรื่องข้อกฎหมาย ถ้าเป็นเมืองไทยก็ต้องให้ผู้ปกครองเป็นคนรับเช่นกัน แต่ไม่แน่ใจทำไมของฝรั่งไปคุยกันอีท่าไหนถึงไม่ยอมจ่ายเลยซะงั้น
เป็นการป้องกันไม่ให้เด็กนำเงินจำนวนนั้นไปใช้โดยขาดวิจารณญาน ซึ่งอาจจะเป็นปัญหาสังคมตามมาภายหลังได้ครับ #แถ
ผมก็คิดอย่างนี้เช่นกันครับ เกิดเด็กคนนั้นนำไปซื้อสิ่งเสพติดขึ้นมา แล้วโดนจับ หากโดนซักถามที่มาของเงิน กลายเป็นว่าการแก้บักเป็นช่องทางในการหาเงินไปซื้อสารเสพติดให้แก่เด็กๆทั่วโลกที่เก่งคอม
แต่ผมไม่คิดอย่างนั้นครับ การจะหาเงินโดยการลงทุนลงแรงที่ไม่ผิดศีลธรรมผมว่ามันไม่น่าจะผิด และเราก็ไม่สามารถควบคุมการใช้เงินของเด็กได้ 100% ไม่ว่าเงินที่เด็กได้มาจะมาจากไหน การหาเงินจากการมาค้นหาบั๊กก็ไม่น่าจะใช่ช่องทางทีี่จะดึงดูดเพื่อหาเงินไปใช้ในทางอบายมุขมากพอถึงขนาดทำกันเป็นล่ำเป็นสันเพราะต้องลงแรงมากเกินไป
ผู้ใหญ่ก็ทำได้ครับ แหม่
มันไม่เกี่ยวกับสารเสพติดหรือสิ่งผิดกฏหมายอะไรเลยครับ จะเอาเงินไปซื้อยาน่ะไม่ใช่มีแค่วิธีแฮกหรอก มันคนละเรื่องกันครับ
ทำอย่างกับเด็กไทยที่ติดยานี่เอาเงินมาจากการแฮก
ทำไมต้องแหกกฎด้วย
เด็กต่างชาติอาจจะไม่ได้ใกล้ชิดพ่อแม่แบบเด็กไทยก็ได้นะ เค้าก็เลยไม่สะดวกที่จะเรียกพ่อแม่มารับแทน
@mamuang
ทำไมตอนผมอายุ 16 รับเงินรางวัลของ Microsoft Partner in learning ได้หว่า
มอง ขำขำ
เช่น ถ้าให้แล้วเกิดเหตุที่ต้องฟ้องกลับ เรียกเงินคืนแล้วฟ้องเด็กที่ยังไม่บรรลุ จะได้ไหมหว่า (เช่นฟ้องแพ่ง)
จะว่าโง่หรือฉลาดดีเนี่ย แฮกได้ แต่ทำผิดกฎ
เค้าผิดกฏเพราะอายุไม่ถึงไม่ใช่หรือครับ แล้วเค้าต้องทำยังไง ถึงจะถูกกฏหรือครับ
รอให้อายุ 18 ก่อนสิ
แล้วกว่าจะเปิดเผยต้องรออายุ 18 ก่อนนี่ฉลาดหรือโง่หนิ?ป.ล.ผมยังไม่เห็นว่าเขาจะทำผิดตรงไหนนะ มีแต่ Paypal ที่่พลาดกับเรื่องนี้ไป เทียบความเสียหายกับเงินรางวัลนะ
แหม่ รอแค่ 1 ปีเองนะครับ ถ้าเด็กเค้าอายุ 13 ปี ก็ต้องรอไป 6 ปีซินะครับ ถึงจะส่งบั๊คเพื่อจะเอารางวัลได้
ถ้ารอถึงตอนนั้น แล้วโดนคนอื่นแย่งไปแล้ว ใครรับผิดชอบครับ?
ถ้ารอถึงตอนนั้น มีคนเจาะพรุนไปแล้วจากมุมมืด ใครรับผิดชอบครับ?
ถ้ารอถึงตอนนั้น แล้วไม่มีโอกาสแจ้ง ใครรับผิดชอบครับ
ถ้าอยากรอถึงตอนนั้น แต่วันนั้นไม่มีทางมาถึง ใครรับผิดชอบครับ?
เค้าทำไมอะไรพลาดจนอาจจะคิดว่าโง่ได้หรือครับ?
ช่างไฟสมัครเล่น (- -")
ไม่นึกว่าคอมเมนต์แบบนี้จะมีออกมา?
มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB
นั่นแหละครับ ยินดีต้อนรับสู่ประเทศไทยครับ
ยังขาดวุฒิภาวะอยู่นะครับแบบนี้
ถ้าคนมีวุฒิภาวะขึ้นมาหน่อยก็ต้องส่ง mail ไปต่อรองกับ paypal ไม่ก็บอกพ่อแม่ให้รับแทนแล้วล่ะเงื่อนไข paypal ตั้งเองทำไมจะแก้ไม่ได้
อดรางวัลไปเลยไอ้น้อง
เกณ์ => เกณฑ์
มัวแต่ห่วงกฎแทนที่จะห่วงเรื่องความปลอดภัยของระบบนี่ ก็ไม่ไหวนะ เรื่องแบบนี้มันน่าจะหยวนๆ กันได้
ดู update ข่าวโดยผู้เขียนแล้วก็น่าจะเคลียร์นะ
เด็กเขาเจ๋งแฮะ ไม่เหมือนเด็กไทยส่วนใหญ่(ไม่ใช่ทั้งหมด) รู้เรื่องคอมหน่อย ทนงตนว่าข้าเก่ง รู้รอบ กลิ่นขี้ฟันฟุ้ง~
สรุปข่าวใหม่ เจ้าตัวเห็นเงื่อนไขเรื่องอายุ เลยไม่report bugเข้าpaypal แต่มาเปิดเผยสาธารณะซะงั้น แทนที่จะคุยกับเขาก่อนอาจจะมีข้อยกเว้นในกฎหรือช่องทางแบบอื่น(เช่นที่ให้ใช้ชื่อพ่อแม่หรือผู้ปกครองแทน) แต่ชิงมาเปิดเผยแบบนี้ ผมว่าไม่ค่อยเหมาะนะ อาจมีคนใช้ช่องการโจมตีนี้จากการเผยแพร่ข้อมูลก่อนที่paypalจะทันแก้ไขด้วยซ้ำ ไม่ต่างจากพวกเกรียนhacker เลยก็ว่าได้
คงไม่อยากให้ที่บ้านรู้ด้วยมั้งครับ
นี่ถ้าถูกนำจับคงไม่ใช่แค่ที่บ้านที่จะรู้ คิดไปคิดมาเลยยิ่งเข้าใจในความเป็น "เยาวชน"
จาก 2 ประโยคนี้ไม่แน่ใจว่าสรุปได้แบบไหนเหมือนกัน
ป.ล.แปลจากภาษาอังกฤษนะภาษาเยอรมณีนี่ไม่ไหว
ผมว่าต้องแก้ update เพิ่ม update#2 นะ
จากที่ไปอ่านต้นทางมา เด็กเค้ามีการติดต่อ Paypal ไปก่อนแล้ว แถมยังแนบ screenshot email มาให้ดูด้วย
http://zer0byte.com/wp-content/uploads/2013/05/xss-paypal1.png
http://zer0byte.com/wp-content/uploads/2013/05/xss-paypal2.png
http://zer0byte.com/wp-content/uploads/2013/05/xss-paypal3.png
คือ กลายเป็นว่า นอกจากจะไม่ให้ bounty แล้ว ตอนหลังเด็กก็ขอจดหมาย acknowledgement (PDF) เพื่อใช้ในการเขียนใบสมัครก็ยังโดนปฏิเสธ