United Airlines первой из авиакомпаний объявила об открытии программы вознаграждения за поиск уязвимостей — пока исключительно в онлайн-ресурсах компании. Правда, в отличие от традиционных программ Bug Bounty, эта программа будет предполагать расплату милями, притом ИБ-энтузиасты должны обязательно быть участниками программы лояльности MileagePlus. За обнаружение уязвимостей, открывающих возможность удаленного исполнения кода, можно получить целый миллион бонусных миль (для справки: для апгрейда до бизнес-класса из Европы в страны Карибского бассейна понадобится чуть больше 300 тыс. миль). 250 тыс. миль достанутся ИБ-исследователям, доложившим об уязвимостях средней степени критичности (например, о багах, позволяющих обойти процесс аутентификации), 50 тыс. — за XSS-баги и уязвимости подделки межсайтовых запросов, а также бреши, возникающие по вине сторонних поставщиков.

Программа поиска багов подразумевает получение бонусных миль за обнаружение брешей в сайтах и приложениях United, а также размещаемых на united.com и других веб-страницах авиакомпании программах сторонних разработчиков. Однако из списка багов, за которые причитается премия, исключены уязвимости в устаревших или более не поддерживаемых версиях браузеров, плагинов или операционных систем, используемых компанией. Также не стоит тратить усилия на охоту за багами во внутренних платформах United, на сайтах партнеров, в бортовых Wi-Fi-сетях, развлекательных мультимедийных системах или системах авионики, притом в последнем случае нарушение этих правил может повлечь не только вечную дисквалификацию из программы, но и риск попасть под следствие. Кроме того, даже в рамках программы Bug Bounty компания запрещает использовать методы социнженерии против сотрудников United, а также bruteforce- и DoS-атаки, внедрение кода в работающие системы, автоматическое сканирование серверов и манипуляции с аккаунтами программ лояльности.

Возможно, таким образом компания желает не только мотивировать своих сведущих в ИБ пассажиров искать баги, но и обезопасить себя от репутационных рисков (и от гипотетически возможных рисков реального взлома систем самолета), которые может повлечь за собой энтузиазм некоторых исследователей. Похоже, в United серьезно отнеслись к недавнему злосчастному инциденту с известным исследователем Крисом Робертсом, который неудачно пошутил насчет взлома бортовых систем самолета, затем был снят с рейса и теперь находится под пристальным вниманием ФБР. Напомним, что Робертс утверждает, что его твит был как раз призван привлечь внимание к тому, что авиакомпании и Федеральное агентство авиации недостаточно серьезно относятся к вопросам информационной безопасности в самолетах.

Категории: Уязвимости, Хакеры