United Airlines offre 1,8 million de miles aux chasseurs de bugs

Des hackers viennent de toucher les récompenses en miles du bounty program de United Airlines. La compagnie aérienne a versé 1,8 million de miles pour la découverte de plusieurs failles sur ses sites et applications.

Au mois de mai dernier, United Airlines inaugurait son Bounty program, une chasse aux failles informatiques. Mais le terrain de jeu des hackers était limité. Pas question de prendre le contrôle d’un avion, mais plutôt de trouver des vulnérabilités du site officiel de United Airlines, de la version bêta du site mobile, de l’application et du programme de fidélité. Même les méthodes étaient encadrées : pas d’attaques en force brute, par déni de service ou injection de code sur le système de production et, bien évidemment, pas question de tester son exploit sur les systèmes embarqués des avions.

Selon la gravité de la faille trouvée, la compagnie aérienne a trouvé un moyen original de rétribuer les chercheurs de bugs. Elle récompense avec des miles, des points de fidélité qui permettent à partir d’un certain niveau de prendre un vol gratuitement. Pour une vulnérabilité impliquant une exécution du code à distance, United Airlines promet 1 million de miles, un contournement d’authentification donne droit à 250 000 miles et un cross-scripting vaut 50 000 miles. A titre d’exemple, un vol Australie-États-Unis coûte 80 000 miles en classe économique ou 350 000 en première classe.

1,8 million de miles pour les premières découvertes

Des hackers viennent de publier sur leur compte Twitter les premiers versements de primes. Ainsi, Jordan Wiens, un hacker de la société Vector 35, a trouvé deux failles avec exécution de code à distance, sans toutefois donner de détails. Il explique que ces vulnérabilités ont été trouvées un peu par hasard dans une partie du site où il n’était pas sûr que le programme fonctionnait. Après analyse des failles, il empoche 1 million de miles. Dans ses remerciements, il appelle United Airlines à ouvrir un peu plus sa chasse aux bugs et à publier les détails des failles corrigées.

Un australien de Melbourne, Nathaniel Wakelam, a été récompensé de 500 000 miles pour un bug validé. Le chasseur de bugs estime avoir découvert une douzaine de vulnérabilités et reste dans l’attente de leur approbation par la compagnie aérienne. Enfin, un troisième hacker, Neal Poole, a récolté 300 000 miles pour un bug soumis ce mois-ci.

Un expert en sécurité interdit de vol suite à un tweet équivoque

Lire aussi : Faille Spectre : Intel patche à nouveau, pour de bon?