Jordan Wiens está pensando cuál sería el destino más interesante para visitar, utilizando algunas de las millas que United Airlines le otorgó como recompensa por reportar algunos bugs en su red. El investigador dio aviso hace unos días en su cuenta de Twitter:
Wow! @united really paid out! Got a million miles for my bug bounty submissions! Very cool. pic.twitter.com/CEclmhmyUq
— Jordan Wiens (@psifertex) julio 10, 2015
Tras haber encontrado una vulnerabilidad considerada de severidad alta, que permitía la ejecución remota de código (RCE por sus siglas en inglés correspondientes a Remote Code Execution), Wiens recibió el premio mayor del programa de recompensas de United Airlines - correspondiente a un millón de millas para viajar a cualquier destino de la aerolínea.
Las vulnerabilidades de severidad media como evasión de la autenticación, exposición de información personal o ataques de fuerza bruta son recompensadas con 250 mil millas, mientras que las de severidad baja como XSS o XSRF equivalen a 50 mil. Lo novedoso de este caso son justamente los premios, que no son en dinero como suele ser el caso en los demás programas de recompensas - como los de Dropbox, LinkedIn o Google. Pero lo cierto es que Wiens quedó muy conforme con su millón de millas, y United Airlines se vio beneficiada ya que pudo empezar a trabajar para resolver la vulnerabilidad encontrada, de manera que se eviten posibles riesgos asociados a su explotación.
La compañía no dio detalles de la vulnerabilidad ni permitió que Wiens lo haga, ya que exige una estricta discreción. De hecho, las condiciones del programa de recompensas aclaran: "Los bugs o potenciales bugs que descubras no podrán en ningún momento revelarse al público o a un tercero".
En tanto, el investigador parece sorprendido por la magnitud de su hallazgo, e incluso esperaba una recompensa de menor grado. Después de todo, le tomó apenas seis horas revisando los sitemas online de la compañía encontrar la falla. Según Wiens, es probable que la ejecución remota de código no se diera en partes críticas de la red de la compañía, tal como contestó en una conversación en Twitter:
@PaulM The RCE probably wasn't in critical parts of the network. I actually expected less miles since it didn't seem as important. — Jordan Wiens (@psifertex) julio 10, 2015
Pero, al parecer, United Airlines se toma el asunto muy en serio, y anima a los investigadores a reportar cualquier falla que encuentren en sus sitemas: "Si crees que has descubierto un potencial bug de seguridad que afecta a nuestros sitios, apps y/o portales online, por favor háznoslo saber. Si el reporte cumple con nuestros requerimientos, con gusto te recompensaremos por tu tiempo y esfuerzo".
Sigue leyendo: ¿Cómo reportar una vulnerabilidad?