Schwachstellen-Offenlegungsprogramm

Bei United® nehmen wir Ihre Sicherheit, Ihren Schutz und Ihre Privatsphäre ernst. Wir wenden beste Vorgehensweisen an und sind davon überzeugt, dass unsere Systeme sicher sind. Wir engagieren uns für den Schutz der Privatsphäre unserer Kunden und der persönlichen Daten, die wir von ihnen erhalten. Deshalb bieten wir das Schwachstellen-Offenlegungsprogramm an – in der Luftverkehrsbranche das erste seiner Art. Wir glauben, dass dieses Programm unsere Sicherheit weiter verbessern und uns ermöglichen wird, weiterhin einen herausragenden Service zu bieten. Wenn Sie glauben, eine mögliche Schwachstelle gefunden zu haben, die sich negativ auf unsere Websites, Apps und/oder Online-Portale auswirkt, informieren Sie uns bitte darüber. Wenn die Einreichung unsere Anforderungen erfüllt, belohnen wir Sie gerne für Ihre Zeit und Mühe.

Bevor Sie eine Schwachstelle melden, lesen Sie bitte die „United-Bedingungen“. Durch die Teilnahme am Schwachstellen-Offenlegungsprogramm stimmen Sie der Einhaltung dieser Bedingungen und den hier enthaltenen Anforderungen und Richtlinien zu.

Was ist das Schwachstellen-Offenlegungsprogramm?

Ein Schwachstellen-Offenlegungsprogramm erlaubt es unabhängigen Forschern, Sicherheitsprobleme, die die Vertraulichkeit, Integrität und/oder Verfügbarkeit von Kunden- oder Unternehmensinformationen betreffen, zu entdecken und zu melden und eine Prämie dafür zu erhalten, einen Programmfehler zuerst entdeckt zu haben.

Teilnahmeanforderungen

Um sicherzustellen, dass Einreichungen und Auszahlungen fair und relevant sind, müssen Forscher und Schwachstelle gemäß den Bestimmungen für das Schwachstellen-Offenlegungsprogramm von United u. a. folgende Berechtigungsanforderungen erfüllen:

  • Bei allen Schwachstellen muss es sich um neue Entdeckungen handeln. Es erhält nur der erste Forscher Prämienmeilen, der eine bestimmte Schwachstelle einreicht.
  • Der Forscher muss mindestens 18 Jahre alt und ein vollberechtigtes Mitglied von MileagePlus® sein. Falls Sie noch nicht Mitglied sind, melden Sie sich jetzt beim MileagePlus-Programm an.
  • Der Forscher darf nicht in einem Land wohnhaft sein, das sich zurzeit auf einer Sanktionsliste der USA befindet.
  • Der Forscher, der die Schwachstelle einreicht, darf nicht aktueller oder ehemaliger Mitarbeiter von United Airlines, einer Mitgliedsfluggesellschaft der Star Alliance™ bzw. einer anderen Partnerfluggesellschaft, ein Auftragnehmer von United Airlines, ein Familienmitglied eines Mitarbeiters von United Airlines oder einer Partnerfluggesellschaft oder dem gleichen Haushalt zugehörig sein.
  • Der Forscher, der die Schwachstelle einsendet, darf nicht Autor des anfälligen Codes sein oder anderweitig bereits damit in Verbindung stehen.

Angaben zu Zielen

United legt ggf. periodisch fest, was eine qualifizierte Schwachstelle ist. Nachfolgend finden Sie eine Übersicht über alle Ziele, für die United Schwachstelleneinreichungen prüfen wird:

  • Kommerzielle Website von United Airlines (united.com)
  • United-App (iOS und Android)
  • United MileagePlus X-App (iOS und Android)
    • Die MileagePlus X-App auf iOS kann im Apple App Store heruntergeladen werden.
    • Die MileagePlus X-App auf Android kann im Google Play Store heruntergeladen werden.

Nachfolgend finden Sie alle Ziele, die im Geltungsbereich des Schwachstellen-Offenlegungsprogramms bzw. außerhalb davon liegen.

Im Geltungsbereich

  • *.united.com – Website-Tests
  • United Mobile App für iOS – mobile Tests
  • United Mobile App für Android – mobile Tests
  • MileagePlus X-App für iOS – mobile Tests
  • MileagePlus X-App für Android – mobile Tests

Nicht im Geltungsbereich

United nutzt zahlreiche Sites/Services Dritter, die in Bezug auf dieses Programm als außerhalb des Geltungsbereichs angesehen werden. Des Weiteren kann die Geltungsbereichsliste jederzeit geändert werden. Folgende Ziele gelten als außerhalb des Geltungsbereichs:

  • Wi-Fi, Unterhaltungssysteme oder Luftfahrtelektronik an Bord
  • Unternehmens-E-Mail
  • Anwendungen/Services Dritter
  • Produktionsferne Umgebungen
  • hotels.united.com
  • vacations.united.com
  • united.jobs
  • newsroom.united.com
  • ir.united.com
  • hub.united.com
  • jobs.united.com
  • opinions.united.com
  • globallinks.united.com
  • dutyfree.united.com
  • bigmetalbird.united.com
  • globalservices.united.com
  • uatp.united.com
  • thanksamillion.united.com
  • unitedmileageplus.com
  • secure.unitedmileageplus.com
  • newspaper-miles.com
  • *.ual.com
  • *.mileageplus.com
  • cruises.united.com
  • ualmiles.com
  • unitedshop.summitmg.com
  • united-veterans.jobs
  • clubconferencerooms.united.com/unit
  • theexplorercard.com
  • mpclubcard.com
  • myexplorercard.com
  • unitedexplorecard.com
  • unitedexplorer.com
  • unitedexplorercard.com
  • mileageplusawards.com
  • mpdining.rewardsnetwork.com
  • m.mpdining.rewardsnetwork.com
  • news.united.com/responsys
  • survey.continental.com/vovici.net
  • booking.unitedcargo.com
  • chargerback.com

Einsatzregeln

  • Geben Sie im Einreichungsformular Einzelheiten zu der gefundenen Schwachstelle an, einschließlich der Informationen, die zum Reproduzieren und Validieren der Schwachstelle erforderlich sind.
  • Alle Schwachstellen müssen eine Sicherheitsbedrohung darstellen, um zum Erhalt einer Prämie zu berechtigen. Die abschließende Beurteilung des Schweregrades einer Schwachstelle liegt bei United.
  • Von Ihnen entdeckte Schwachstellen oder potenzielle Schwachstellen dürfen zu keinem Zeitpunkt öffentlich oder gegenüber Dritten offengelegt werden. Eine Zuwiderhandlung führt zu Ihrer Disqualifikation vom Erhalt von Prämienmeilen.
  • Versuchen Sie keine Nachbearbeitung, einschließlich einer Veränderung oder Vernichtung von Daten, oder eine Unterbrechung oder Beeinträchtigung der United Services.
  • Versuchen Sie keine Durchführung von Brute-Force-Angriffen, Denial-of-Service-Angriffen, Gefährdung oder Testung von United-Konten, die nicht Ihre eigenen sind.
  • Versuchen Sie keine Testung an Flugzeugen oder Flugzeugsystemen wie der Bordunterhaltung oder dem Wi-Fi an Bord.
  • Versuchen Sie keine Angriffe auf United-Mitarbeiter oder -Kunden mit Methoden wie Social-Engineering-Angriffen, Phishing-Angriffen oder physischen Angriffen.
  • Führen Sie keine physischen Angriffe gegen Flughafeneinrichtungen von United durch.
  • Verwenden Sie keine automatisierten Scanner/Tools.

Für die Einreichung qualifizierte Schwachstellen:

  • Remote-Code-Execution
  • SQL-Injection
  • XXE
  • XSS
  • Server-Side-Request-Forgery
  • Directory-Traversal – Local-File-Inclusion
  • Umgehung der Authentifizierung/Autorisierung (Broken-Access-Control)
  • Privilege-Escalation
  • Unsichere Objektreferenz
  • Fehlkonfiguration
  • Web-Cache-Täuschung
  • CORS-Fehlkonfiguration
  • CRLF-Injection
  • Cross-Site-Request-Forgery
  • Open-Redirect
  • Informationsoffenlegung
  • Anforderungsschmuggel
  • Gemischter Inhalt

Nicht für die Einreichung qualifizierte Schwachstellen:

  • Sicherheits-Best-Practices, z. B. Sicherheits-Header usw.
  • Social-Engineering, Phishing
  • Physische Angriffe
  • Fehlende Cookie-Flags
  • CSRF (Cross-Site-Request-Forgery, website-übergreifende Anfragenfälschung), mit minimalen Auswirkungen z. B. CSRF bei der Anmeldung, bei der Abmeldung usw.
  • Content-Spoofing
  • Stack-Traces, Pfadoffenlegung, Directory-Listing
  • Best Practices für SSL/TLS
  • Banner-Grabbing
  • CSV-Injection
  • Reflected-File-Download
  • Berichte über veraltete Browser
  • DOS/DDOS
  • Host-Header-Injection ohne nachweisbare Auswirkung
  • Scanner-Ausgaben
  • Schwachstellen bei Produkten Dritter
  • Benutzeraufzählung
  • Passwortkomplexität
  • HTTP-Trace-Methode
  • DMARC
  • Clickjacking
  • SPF-Record
  • Unzureichende Anti-Automatisierung
  • Rate-Limiting-Angriffe
  • Self-XSS

Schweregrad der gemeldeten Schwachstellen

Die Prämie für die Offenlegung einer qualifizierten Schwachstelle kann je nach dem Schweregrad der Schwachstelle variieren. Das Sicherheitsteam von United wird nach Prüfung der Einsendung mithilfe einer Kombination aus dem CVSS (Common Vulnerability Scoring System, Bewertungssystem für häufige Schwachstellen) und der Risikobewertungsmethode des OWASP (Open Web Application Security Project, Open-Source Anwendungs-Sicherheitsprojekt) den Schweregrad der Schwachstelle bestimmen. Die Forscher erhalten bei erfolgreicher Validierung ihrer Einsendung eine Auszahlung in Prämienmeilen.  Mehrere Einreichungen können dabei im alleinigen Ermessen von United als eine einzige Schwachstelle gelten. 

Maximale Auszahlung in Prämienmeilen je nach Schweregrad der Schwachstelle

Schweregrad Maximale Auszahlung in Prämienmeilen
Kritisch 1.000.000 Meilen
Hoch 500.000 Meilen
Mittel 250.000 Meilen
Niedrig 50.000 Meilen
Informativ 0 Meilen

Einreichungen

Bitte bestätigen Sie mit der Einreichung eines Berichts an das Schwachstellen-Offenlegungsprogramm von United, dass Sie die Richtlinie und die allgemeinen Geschäftsbedingungen verstehen und anerkennen und nutzen Sie dazu das hier beigefügte Einreichungsformular.