漏洞不時會出現於各種系統中,而系統設置的環境又令同一漏洞可以造成不同程度的破壞;對離地運作的航空業更可謂性命攸關。日前美國聯合航空就公開邀請資安人員協助發掘網頁中的漏洞,更以重賞百萬里數作為報酬,可謂航空業的創舉。
局部資安外判成效顯著 業界或仿效
儘管聯航的重賞並非現金,但仍吸引到不少資安界高手參與。其中一位獲得百萬飛行里程的 Jordan Wiens 就於自己的 Twitter 上提到自己於兩個月前提交的漏洞,日前終被聯航查核,並給予里程作為獎勵,而其中一筆更有百萬。
由於聯航有規定參與者並不能對外及與第三方談論漏洞相關事宜,故未能了解價值百萬飛行里程獎賞的漏洞實際為何物。但 Wiens 就透露指其實他發現的 RCE 漏洞其未算太嚴重,故從未料到會獲得百萬里數作為獎勵。
聯航表示確曾向兩名資安人員發放百萬里數作報酬,但就不願對其他表示獲酬額較低的資安人員作出證實。
據指,聯航的獎賞方式差異在於漏洞的嚴重程度:如遠端執行等嚴重漏洞就會賞以一百萬里程;跳過認證、暴力破解等中等程度漏洞就會給予 25 萬里程;而程度較輕如跨站執行等就賞 5 萬的里程數。
程式漏洞獵人類型的活動多由如 Microsoft、Google、Facebook 等大型科技公司舉行,獎賞則主要為現金。由聯航號召的活動就可謂航空界的首次,未來或會有更多領域採用此方式以提高旗下系統架構的漏洞回報,從而提升服務的保安性。
(本文由 TechNews 授權轉載)
