Milion vzdušných mil pro hackery

Letecká společnost United Airlines nabízí až milion vzdušných mil hackerům, kteří pomohou najít bezpečnostní hrozby v její síti. Tento krok přichází v době neustále rostoucích kybernetických hrozeb a také poté, co uznávaný expert na bezpečnost informačních technologií Chris Roberts federálním agentům vypověděl, že se mu nejméně 15krát podařilo proniknout do řídicích systémů letadel. Šlo prý o velké dopravní stroje Boeing 737 a Airbus A-320 na amerických vnitrostátních linkách. Během jednoho z letů podle materiálů FBI dokázal přimět jeden z motorů stroje k pohybu směrem vzhůru, čímž na okamžik mírně odklonil stroj od trasy požadované piloty.

Na svých internetových stránkách letecká společnost United Airlines uvádí typy hrozeb, které mají nárok na odměnu a jsou součástí takzvaného „Bug bounty“ programu. Patří mezi ně i objevení chyby na webových stránkách zákaznického servisu, objevení nedostatků v aplikacích United Airlines a zamezení útokům, které zneužívají soukromé údaje uživatelů.

Množství vzdušných mil, které „výherce“ může získat, závisí na závažnosti objevené chyby. Pro zisk milionu vzdušných mil musí takzvaní „etičtí hackeři“ odhalit chybu typu „vzdálené spuštění kódu“, která umožňuje hackerům proniknout síť ze vzdáleného místa. Po odhalení chyby střední závažnosti je možné získat 250 tisíc vzdušných mil. Odhalení jakékoliv chyby na nízké úrovni ohrožení zajistí nálezci 50 tisíc vzdušných mil.

Co je po nedávném incidentu na palubě letadla zajímavé, je to, že United Airlines nemá zájem, aby si hackeři „hráli“ se systémy na palubách letadel, a poznamenali, že chyby nalezené na „palubních Wi-Fi systémech, zábavních portálech nebo letecké elektrotechnice“ nejsou způsobilé k podání.

Žádat profesionální hackery o pomoc s hledáním chyb až takovou novinkou není. Mezi leteckými společnostmi je však United Airlines jednou z prvních, která něco takového zkouší. Bank of England loni zaměstnala několik „etických hackerů“, aby testovali systémovou ochranu největších britských bank. Obecně se firmy se snaží čím dál tím častěji hledat potřebné odborné znalosti, aby mohly bojovat se stále důmyslnějšími hackerskými útoky. Tím, že nechají externí hackery pátrat v jejich systémech, mohou snadno najít chyby, kterých by se jinak mohly obávat.

„Jedná se o chytrý tah společností United Airlines. Testování bezpečnostních slabin může být pro organizaci nesmírně cenné,“ píše ve svém prohlášení Jason Steer, šéf bezpečnostní strategie FireEye. „Její „Bug bounty“ program je nový způsob, jak motivovat etické hackery hledat nedostatky v jejich systémech. Je to skvělý způsob, jak ušetřit peníze a zároveň zvýšit svou bezpečnost.“

United Airlines také varovala, že by se hackeři neměli pokoušet o takové věci jako infiltrace škodlivého kódu do zaběhlých systémů, či vytvářet nátlak nebo vydírat zaměstnance letecké společnosti. Každého, kdo by se o něco obdobného pokoušel, by čekala automatická diskvalifikace z programu a čelil by také právnímu vyšetřování.

Newsletter