Джордан Уайанс (Jordan Wiens), ИБ-исследователь из Мельбурна, штат Флорида, поделился в твиттере информацией о том, что авиакомпания United Airlines наградила его миллионом миль за обнаружение бага на веб-сайте.

После конфуза, произошедшего на борту с исследователем Крисом Робертсом несколько недель назад, United решила продемонстрировать ответственность и объявила о запуске собственной программы Bug Bounty — впервые в авиации. Программа премирования исследователей распространяется на уязвимости в веб-ресурсах компании и исключает исследование бортовых сетей. Авиакомпания использует мили в качестве «валюты». Выплаты в рамках Bug Bounty разнятся от 50 тыс. миль за менее важные баги (подделка межсайтовых запросов, баги в стороннем ПО, используемом United) до 250 тыс. миль за баги средней степени критичности (обход аутентификации, утечка персональной информации, брутфорс-атаки). Миллион миль причитается нашедшему баги очень высокой степени критичности, в том числе возможности удаленного выполнения кода (RCE).

По словам Уайанса, на поиск уязвимости на сайте компании он потратил около шести часов. При этом он искренне удивился тому, что United решила наградить его максимальным количеством миль, предполагаемым в рамках программы.

К сведению: миллиона миль хватит на 7 полетов бизнес-классом из Австралии в США или 16 полетов экономклассом из Австралии в Европу.

Уайанс собирается потратить полученные мили на путешествие бизнес-классом на Гавайи — путешествие, как он признается, давно обещанное жене.

Правила программы запрещают раскрывать информацию об уязвимостях третьим лицам, поэтому подробности RCE-уязвимости, которая настолько впечатлила организаторов Bug Bounty в United, остаются в секрете. Хотя Уайанс не считает баг серьезным, RCE-уязвимости опасны тем, что могут позволить злоумышленнику удаленно внедрить и исполнить код без прохождения аутентификации.

Хотя многие ИБ-исследователи критически отнеслись к программе United, так как она не предполагает выплаты в виде наличности, как другие, но Уайанс, похоже, доказал ее ценность: в эквиваленте наличности вознаграждение Уайанса равняется приблизительно $25 тыс. — не меньше, чем в аналогичных программах ИТ-компаний.

Категории: Кибероборона, Уязвимости