|
Jordan Wiens沒有花費(fèi)很長時(shí)間便找到美國聯(lián)合航空的網(wǎng)絡(luò)漏洞���,但是長達(dá)大約六小時(shí)的工作回報(bào)是一百萬英里的免費(fèi)航空里程。
來自佛羅里達(dá)州的漏洞研究員Wiens是第一位獲得聯(lián)合航空公司bug賞金計(jì)劃獎(jiǎng)勵(lì)的人����,因?yàn)樗l(fā)現(xiàn)了網(wǎng)絡(luò)屬性中的遠(yuǎn)程代碼執(zhí)行(RCE)漏洞。
2015年5月美國聯(lián)合航空公司宣布漏洞賞金計(jì)劃���,聯(lián)合航空公司是航空界中首吃螃蟹的公司�����。
通常����,微軟、谷歌和Facebook這些科技巨頭以現(xiàn)金的方式為漏洞賞金計(jì)劃提供賞金�。
聯(lián)合航空公司的獎(jiǎng)金方式是免費(fèi)的航空里程—獎(jiǎng)金范圍從低級(jí)漏洞獎(jiǎng)勵(lì)50000英里免費(fèi)航空里程(跨站點(diǎn)偽造請(qǐng)求、影響聯(lián)合航空的第三方軟件漏洞)����、中級(jí)漏洞獎(jiǎng)勵(lì)250000英里免費(fèi)航空里程(認(rèn)證通過、個(gè)人信息泄露��、遠(yuǎn)程蠻力攻擊)到RCE漏洞獎(jiǎng)勵(lì)1000000英里免費(fèi)航空里程��。
近期雖然飛機(jī)系統(tǒng)的安全性受到質(zhì)疑�,但是有幾種漏洞—包括像航空電子系統(tǒng)和機(jī)上Wi-Fi這些機(jī)載系統(tǒng)的漏洞不在賞金計(jì)劃范圍之內(nèi)。
Wiens在推特上公布了他獲得的獎(jiǎng)勵(lì)���,他似乎感到很驚訝聯(lián)合航空公司為他提交的漏洞支付了最高獎(jiǎng)勵(lì)�����。
Wiens 的推特狀態(tài)—關(guān)于漏洞賞金
哇!聯(lián)合航空真的支付了賞金!因提交的漏洞獲得了一百萬英里的免費(fèi)航空里程��。非��?!
他的推特包括一個(gè)截圖顯示聯(lián)合航空在7月10兌現(xiàn)了獎(jiǎng)勵(lì)�,包括兩部分:其中一部分是獎(jiǎng)勵(lì)999999英里的航空里程,另一部分是獎(jiǎng)勵(lì)1英里的航空里程�。
漏洞賞金計(jì)劃的規(guī)則禁止向公眾或者任何第三方披露安全漏洞,但是Wiens在推特上表示他發(fā)現(xiàn)的漏洞“不是技術(shù)難題”��。
Wiens稱他發(fā)現(xiàn)的RCE漏洞“可能不是網(wǎng)絡(luò)的關(guān)鍵部分”�����。
即便如此��,RCE漏洞是嚴(yán)重的bug����,它可能允許未經(jīng)認(rèn)證的黑客遠(yuǎn)程地向程序中注入代碼而讓程序運(yùn)行�����。
這意味著外界的人不需要登錄便可以在你的服務(wù)器或桌面電腦上運(yùn)行程序�。
Wiens接受當(dāng)?shù)氐碾娨暸_(tái)采訪時(shí)表示他和他的家人計(jì)劃使用免費(fèi)的航空里程購買經(jīng)濟(jì)艙機(jī)票旅行,包括和妻子至少去一趟夏威夷��。
由于航空公司包攬了獎(jiǎng)勵(lì)的航空里程����,Wiens和妻子購買兩張往返于夏威夷的頭等艙機(jī)票將花費(fèi)360000英里的航空里程��。
聯(lián)合航空漏洞賞金計(jì)劃的批評(píng)者可能指出獎(jiǎng)勵(lì)的免費(fèi)航空里程不如直接的現(xiàn)金那么有吸引力�,這可能使得安全研究人員不大可能參與漏洞賞金計(jì)劃��。
但是一名tweeter宣稱Wiens獲得的獎(jiǎng)勵(lì)價(jià)值大約25000美元����,相當(dāng)于其它賞金計(jì)劃的最高賞金。
我們都會(huì)從這些漏洞賞金計(jì)劃中受益:公司提供的漏洞賞金計(jì)劃使得眾籌的質(zhì)量控制受益;研究人員得到了肯定以及研究工作的補(bǔ)償;由于開展了漏洞賞金計(jì)劃我們其余人會(huì)更加安全�。
像美國聯(lián)合航空公司這樣的公司開始獲得這種創(chuàng)意也是一件美事!
| 
