Jordan Wiens沒有花費很長時間便找到美國聯(lián)合航空的網(wǎng)絡(luò)漏洞，但是長達大約六小時的工作回報是一百萬英里的免費航空里程。

來自佛羅里達州的漏洞研究員Wiens是第一位獲得聯(lián)合航空公司bug賞金計劃獎勵的人，因為他發(fā)現(xiàn)了網(wǎng)絡(luò)屬性中的遠程代碼執(zhí)行(RCE)漏洞。

2015年5月美國聯(lián)合航空公司宣布漏洞賞金計劃，聯(lián)合航空公司是航空界中首吃螃蟹的公司。

通常，微軟、谷歌和Facebook這些科技巨頭以現(xiàn)金的方式為漏洞賞金計劃提供賞金。

聯(lián)合航空公司的獎金方式是免費的航空里程—獎金范圍從低級漏洞獎勵50000英里免費航空里程(跨站點偽造請求、影響聯(lián)合航空的第三方軟件漏洞)、中級漏洞獎勵250000英里免費航空里程(認證通過、個人信息泄露、遠程蠻力攻擊)到RCE漏洞獎勵1000000英里免費航空里程。

近期雖然飛機系統(tǒng)的安全性受到質(zhì)疑，但是有幾種漏洞—包括像航空電子系統(tǒng)和機上Wi-Fi這些機載系統(tǒng)的漏洞不在賞金計劃范圍之內(nèi)。

Wiens在推特上公布了他獲得的獎勵，他似乎感到很驚訝聯(lián)合航空公司為他提交的漏洞支付了最高獎勵。

Wiens 的推特狀態(tài)—關(guān)于漏洞賞金

哇!聯(lián)合航空真的支付了賞金!因提交的漏洞獲得了一百萬英里的免費航空里程。非�？�!

他的推特包括一個截圖顯示聯(lián)合航空在7月10兌現(xiàn)了獎勵，包括兩部分：其中一部分是獎勵999999英里的航空里程，另一部分是獎勵1英里的航空里程。

漏洞賞金計劃的規(guī)則禁止向公眾或者任何第三方披露安全漏洞，但是Wiens在推特上表示他發(fā)現(xiàn)的漏洞“不是技術(shù)難題”。

Wiens稱他發(fā)現(xiàn)的RCE漏洞“可能不是網(wǎng)絡(luò)的關(guān)鍵部分”。

即便如此，RCE漏洞是嚴重的bug，它可能允許未經(jīng)認證的黑客遠程地向程序中注入代碼而讓程序運行。

這意味著外界的人不需要登錄便可以在你的服務(wù)器或桌面電腦上運行程序。

Wiens接受當(dāng)?shù)氐碾娨暸_采訪時表示他和他的家人計劃使用免費的航空里程購買經(jīng)濟艙機票旅行，包括和妻子至少去一趟夏威夷。

由于航空公司包攬了獎勵的航空里程，Wiens和妻子購買兩張往返于夏威夷的頭等艙機票將花費360000英里的航空里程。

聯(lián)合航空漏洞賞金計劃的批評者可能指出獎勵的免費航空里程不如直接的現(xiàn)金那么有吸引力，這可能使得安全研究人員不大可能參與漏洞賞金計劃。

但是一名tweeter宣稱Wiens獲得的獎勵價值大約25000美元，相當(dāng)于其它賞金計劃的最高賞金。

我們都會從這些漏洞賞金計劃中受益：公司提供的漏洞賞金計劃使得眾籌的質(zhì)量控制受益;研究人員得到了肯定以及研究工作的補償;由于開展了漏洞賞金計劃我們其余人會更加安全。

像美國聯(lián)合航空公司這樣的公司開始獲得這種創(chuàng)意也是一件美事!