Közel fél évvel ezelőtt a United Airlines elindította nyilvános hibavadász programját. Az akció híre néhány hónap alatt körbejárta a világsajtót, az etikus hackerek pedig nekiláttak megkeresni a problémákat.

Randy Westergren nem igazán hitt benne, hogy érdemes belekezdeni a kutatásba, már csak a nagy nyilvánosság miatt sem. Végül mégis letöltötte a légitársaság mobilos alkalmazását, utasként regisztrált egy MileagePlus fiókot is, aztán kutatni kezdett. Hamarosan rábukkant egy titkosítatlan közvetlen objektumhivatkozásra (IDOR).

Kreált magának egy második fiókot is, ezzel tesztelve, hogy miket tudhat meg némi trükközéssel. Kiderült, hogy a másik hozzáféréssel vásárolt jegyről, és az ott megadott személyes adatokból is rengeteg minden kiderül. Így jutott hozzá a járat összes adatához, indulási és érkezési időkhöz, illetve a saját telefonszámát, vész esetén értesítendő személy adatait, a fizetéshez használt kártya utolsó négy számjegyét is kiírta a rendszer, emellett megkapta a lehetőségét, hogy módosítsa, vagy törölhesse is az utazást.

[+]

A jegyvásárláshoz használt fiókban megadott e-mail cím és a beszálláshoz szükséges barcode is elérhetővé vált. Mivel ez így már elég ahhoz, hogy bejusson a repülőtérre ellopva saját megvásárolt jegyét, jelentette az esetet a United Airlinesnak. Arra számított, hogy sokan küldenek be hibákat a társaságnak, azt viszont nem gondolta volna, hogy hat hónap kell a hiba javításához.

Egészen pontosan 2015. május 27-én küldte be az észlelt hibát, majd mivel nem kapott érdemi választ, július közepén rákérdezett, mi a helyzet. A United arról tájékoztatta, hogy ezt a sebezhetőséget már előtte más is megtalálta. Semmi gond, mikorra várható a hiba javítása? A légitársaság erre azt felelte, hogy csak az eredeti beküldőt tájékoztatják a részletekről. Némi győzködés hatására végül a United belement, hogy Westergrent is értesítsék.

Hey @united, 6 months for a critical vuln is beyond reasonable. Public disclosure is planned for 11/28.

— Randy Westergren (@RandyWestergren) 2015. november 5.

Augusztus közepén még mindig nem történt érdemi előrelépés, 13-án a megkeresésre azt válaszolta a cég, hogy a bug létezését elismerték, annak javítása folyamatban van. Mikor november ötödikén Westergren e-mailt és Twitter-üzenetet is küldött a vállalatnak, hogy a hónap végén nyilvánosságra hozza a hibát, a United Airlines megköszönte az emlékeztetőt, egyben figyelmeztette a kutatót, hogy ezzel kizárja magát a jutalmazási rendszerből. Eleve duplikációra hivatkoztak, Westergren pedig nem tervez újabb hibát keresni, ezért amúgy sem jár neki semmi, november 12-én a médiához fordult, az újságíró pedig megkereste a Unitedet. 14-én hajnali egykor a hibát javították.

Mindenképp dicséretes, hogy elsőként vállalkozott a légitársaságok közül a United Airlines nyilvános hibavadász program indítására, azonban érdemes volna a vállalatnak profi, ilyen akciókra szakosodott partnerrel dolgoznia, véli Randy Westergren. Egy olyan esetben, amikor nyilvános versenyt hirdetnek, és egy hibát többen is megtalálnak, a féléves javítási idő rettentően sok.