Max Home IndustryUnited Airlines уже выполнила свое обещание платить исследователям безопасности воздушными милями за уязвимости, обнаруженные в ее веб-ресурсах. Он только что назначил максимальную выплату за удаленное выполнение кода.
United Airlines объявила о своей программе вознаграждения за ошибки в мае и с тех пор больше ничего о ней не сообщала. Однако Джордан Винс был так взволнован своей выплатой — одним из 999 999 очков, а другой — 1, доведя общую сумму до 1 миллиона, что он написал об этом в Твиттере:
Один из первых вопросов, который ему задали в Twitter, был о том, какой тип ошибки он отправил. Понимая, что условия программы вознаграждений означают, что он не должен раскрывать информацию, которую он сослал на сайт United Airline:
Это подняло более интересный вопрос, связанный с тем фактом, что правила выгодны исследователям от любых действий, которые могут поставить под угрозу работу авиакомпании:
если вы не можете выполнить инъекцию кода в живых системах, как вы проводите тестирование?
На что Винс ответил:
Я только что отправил отчет, в котором говорится, что «это, вероятно, RCE, я просто не могу протестировать», не могу дать более подробной информации.
В другом твите он сообщил:
RCE, вероятно, не находился в критических частях сети. На самом деле я ожидал меньшего количества миль, так как это не казалось таким важным.
Другой исследователь безопасности, которому уже заплатили за ошибки, попадающие в категорию Medium, задал Винсу важный вопрос, учитывая, что вознаграждением будет только тот, кто первым отправит сообщение об ошибке. Ответ заключался в том, что это было с отметкой времени:
Пт, 15 мая 2015 г., 14:08
что было в считанные часы с момента запуска программы!
Джордан Винс сейчас планирует отпуск на Гавайях, но, как мы объяснили при объявлении программы, если вы не хотите часто летать, есть другие товары и услуги, на которые можно обменять бонусные баллы.
Даже в этом случае миллион миль — это много миль …