Mit dem „Bug-Bounty“-Programm will der amerikanische Spezialist für Bezahlsysteme der weltweiten Entwicklergemeinde einen Anreiz geben, seine Web-Applikationen auf Sicherheitslücken hin zu durchforsten. Das Angebot richtet sich allerdings nur an „ehrliche“ („responsible“) Software-Entwickler, die aufgefundene Sicherheitsschwachstellen nicht ausnutzen oder veröffentlichen, sondern direkt an das Unternehmen melden.

Damit tritt Paypal in die Fußstapfen großer Online-Dienste wie Google, Mozilla, Facebook oder Samsung, die bereits mit ähnlichen Programmen das Auffinden von Sicherheitslücken honorieren. „Andere Unternehmen haben bereits gute Erfahrungen mit solchen Programmen gemacht. Meines Wissens sind wir der erste Anbieter von Finanzdienstleistungen, der diesen Schritt geht“, sagt Michael Barrett, Chief Information Security Officer (CISO) bei Paypal in einem Blog.

Er dürfte mit dem Programm, mit dem er nach seine Wortwahl „Software-Entwickler“ und „Sicherheitsexperten“ ansprechen will, wohl auch die Zielgruppe der weltweiten Hacker-Gemeinde im Auge haben. Denn auch die so genannten „Black Hats“ unter den Hackern, die aufgefundene Schwachstellen für illegale Aktionen nutzen oder in Foren oder eigenen Blogs veröffentlichen, um sich in Hackerkreisen einen Namen zu machen, könnten sich von dem Angebot angesprochen fühlen.

Besonders für die letztere Gruppe, die sonst keinen Anreiz hat, ihre Erkenntnisse zu melden, könnte eine finanzielle Entlohnung attraktiv sein. Über die Höhe der Belohnung machte CISO Barret keine Angaben: Je nach Art und Schwere des gemeldeten Sicherheitsrisikos soll von Fall zu Fall darüber entschieden werden.