Een 17-jarige Duitse student heeft een lek in Paypal gepubliceerd, nadat het bedrijf weigerde hem te belonen voor zijn vondst.

Paypal looft normaal geldprijzen uit aan onderzoekers die lekken vinden, maar omdat de jongen nog geen 18 is komt hij niet in aanmerking. 

Daarom besloot hij zijn lek, dat een code injecteert in de zoekfunctie, op internet te publiceren. De code die werd gebruikt is nu te vinden op de mailinglijst Full Disclosure, meldt Security.nl.

In de richtlijnen stelt Paypal expliciet dat het onderzoekers betaalt voor dit soort beveiligingsfouten, maar volgens de 17-jarige Robert Kugler weigerde het bedrijf hem te betalen toen hij het probleem meldde.

"Ik wil Paypal er niet van beschuldigen dat ze bezuinigen op beloningen voor bugs, maar dit is geen goed idee als je beveiligingsonderzoekers wilt motiveren", schrijft hij.

In een reactie aan NUtech stelt Paypal dat beloningen alleen worden overgeschreven op Paypal-rekeningen. Omdat het niet toegestaan is om zo'n rekening te openen als je minder dan 18 jaar oud bent, komt Kugler niet in aanmerking.