|
Jordan Wiens沒有花費(fèi)很長(zhǎng)時(shí)間便找到美國聯(lián)合航空的網(wǎng)絡(luò)漏洞�����,但是長(zhǎng)達(dá)大約六小時(shí)的工作回報(bào)是一百萬英里的免費(fèi)航空里程�����。
來自佛羅里達(dá)州的漏洞研究員Wiens是第一位獲得聯(lián)合航空公司bug賞金計(jì)劃獎(jiǎng)勵(lì)的人�����,因?yàn)樗l(fā)現(xiàn)了網(wǎng)絡(luò)屬性中的遠(yuǎn)程代碼執(zhí)行(RCE)漏洞。
2015年5月美國聯(lián)合航空公司宣布漏洞賞金計(jì)劃���,聯(lián)合航空公司是航空界中首吃螃蟹的公司。
通常�,微軟、谷歌和Facebook這些科技巨頭以現(xiàn)金的方式為漏洞賞金計(jì)劃提供賞金����。
聯(lián)合航空公司的獎(jiǎng)金方式是免費(fèi)的航空里程—獎(jiǎng)金范圍從低級(jí)漏洞獎(jiǎng)勵(lì)50000英里免費(fèi)航空里程(跨站點(diǎn)偽造請(qǐng)求、影響聯(lián)合航空的第三方軟件漏洞)�、中級(jí)漏洞獎(jiǎng)勵(lì)250000英里免費(fèi)航空里程(認(rèn)證通過、個(gè)人信息泄露��、遠(yuǎn)程蠻力攻擊)到RCE漏洞獎(jiǎng)勵(lì)1000000英里免費(fèi)航空里程���。
近期雖然飛機(jī)系統(tǒng)的安全性受到質(zhì)疑,但是有幾種漏洞—包括像航空電子系統(tǒng)和機(jī)上Wi-Fi這些機(jī)載系統(tǒng)的漏洞不在賞金計(jì)劃范圍之內(nèi)�。
Wiens在推特上公布了他獲得的獎(jiǎng)勵(lì)�,他似乎感到很驚訝聯(lián)合航空公司為他提交的漏洞支付了最高獎(jiǎng)勵(lì)���。
Wiens 的推特狀態(tài)—關(guān)于漏洞賞金
哇!聯(lián)合航空真的支付了賞金!因提交的漏洞獲得了一百萬英里的免費(fèi)航空里程��。非����?!
他的推特包括一個(gè)截圖顯示聯(lián)合航空在7月10兌現(xiàn)了獎(jiǎng)勵(lì)��,包括兩部分:其中一部分是獎(jiǎng)勵(lì)999999英里的航空里程���,另一部分是獎(jiǎng)勵(lì)1英里的航空里程�。
漏洞賞金計(jì)劃的規(guī)則禁止向公眾或者任何第三方披露安全漏洞�,但是Wiens在推特上表示他發(fā)現(xiàn)的漏洞“不是技術(shù)難題”。
Wiens稱他發(fā)現(xiàn)的RCE漏洞“可能不是網(wǎng)絡(luò)的關(guān)鍵部分”����。
即便如此,RCE漏洞是嚴(yán)重的bug���,它可能允許未經(jīng)認(rèn)證的黑客遠(yuǎn)程地向程序中注入代碼而讓程序運(yùn)行。
這意味著外界的人不需要登錄便可以在你的服務(wù)器或桌面電腦上運(yùn)行程序����。
Wiens接受當(dāng)?shù)氐碾娨暸_(tái)采訪時(shí)表示他和他的家人計(jì)劃使用免費(fèi)的航空里程購買經(jīng)濟(jì)艙機(jī)票旅行,包括和妻子至少去一趟夏威夷。
由于航空公司包攬了獎(jiǎng)勵(lì)的航空里程���,Wiens和妻子購買兩張往返于夏威夷的頭等艙機(jī)票將花費(fèi)360000英里的航空里程�。
聯(lián)合航空漏洞賞金計(jì)劃的批評(píng)者可能指出獎(jiǎng)勵(lì)的免費(fèi)航空里程不如直接的現(xiàn)金那么有吸引力�����,這可能使得安全研究人員不大可能參與漏洞賞金計(jì)劃��。
但是一名tweeter宣稱Wiens獲得的獎(jiǎng)勵(lì)價(jià)值大約25000美元���,相當(dāng)于其它賞金計(jì)劃的最高賞金。
我們都會(huì)從這些漏洞賞金計(jì)劃中受益:公司提供的漏洞賞金計(jì)劃使得眾籌的質(zhì)量控制受益;研究人員得到了肯定以及研究工作的補(bǔ)償;由于開展了漏洞賞金計(jì)劃我們其余人會(huì)更加安全����。
像美國聯(lián)合航空公司這樣的公司開始獲得這種創(chuàng)意也是一件美事!
| 
