취약성 노출 프로그램
유나이티드는 고객의 안전, 보안, 그리고 개인 정보를 소중하게 여깁니다. 모범 사례를 활용하며, 시스템 보안에 자신합니다. 유나이티드는 고객께서 믿고 제출하신 개인 정보를 보호하기 위한 큰 노력의 일환으로 항공 업계 최초로 취약성 노출 프로그램을 실시합니다. 이 프로그램을 통해 당사의 보안을 더욱 강화하고, 지속적으로 탁월한 서비스를 제공할 수 있으리라 확신합니다. 유나이티드 웹사이트, 앱 및/또는 온라인 포털에 영향을 미칠 가능성이 있는 취약성을 발견하시면 당사에 알려 주십시오. 제출해 주신 내용이 당사 기준에 부합되면, 내어 주신 시간과 노력에 대해 보상해 드리겠습니다.
보안 취약성을 보고하기 전에 ‘유나이티드 약관’을 검토하시기 바랍니다. 취약성 노출 프로그램에 참여하면 본 약관 및 여기에 포함된 요건 및 지침을 준수함에 동의하는 것입니다.
취약성 노출 프로그램이란 무엇입니까?
취약성 노출 프로그램은 신고자가 기밀성, 고객 또는 기업 정보의 무결성 및/또는 가용성에 영향을 주는 보안 문제를 발견 및 보고하는 것을 허용하여 최초 신고자에게 보상을 제공하는 프로그램입니다.
자격 요건
제출 및 보상 지급의 공정성 및 관련성을 보장하기 위해, 신고자 및 취약성이 다음 요건을 포함하나 이에 국한되지 않는 유나이티드 노출 프로그램 약관에 따라 적격해야 합니다.
- 모든 취약성은 새로 발견된 것이어야 합니다. 보너스 마일리지는 특정 취약성을 가장 먼저 제출한 신고자에게만 제공됩니다.
- 신고자는 만 18세 이상의 유효한 마일리지플러스(MileagePlus®) 회원이어야 합니다. 아직 회원이 아니라면 지금 마일리지플러스 프로그램에 가입하세요.
- 신고자의 거주 국가가 미국의 제재국 목록에 포함되지 않아야 합니다.
- 취약성 신고자는 유나이티드항공, 스타 얼라이언스(Star Alliance™) 회원사 또는 기타 모든 제휴 항공사, 유나이티드항공 계약업체의 현재 또는 이전 직원이 아니어야 하며, 유나이티드항공 또는 제휴 항공사 직원의 가족 또는 동거인이 아니어야 합니다.
- 취약성 신고자는 해당 취약 코드의 작성자가 아니어야 하며 사전 관련성이 없어야 합니다.
대상 정보
유나이티드는 때때로 적격 취약성을 구성하는 요소를 판단할 수 있습니다. 아래는 유나이티드가 취약성 제출 항목을 검토하는 모든 대상을 요약한 것입니다.
- 유나이티드항공 상업 웹사이트(united.com)
- 유나이티드 iOS 및 Android 앱
- 유나이티드 iOS 애플리케이션은 Apple 앱 스토어에서 다운로드할 수 있습니다.
- 유나이티드 Android 애플리케이션은 Google Play 스토어에서 다운로드할 수 있습니다.
- 유나이티드 마일리지플러스 X iOS 및 Android 앱
- 마일리지플러스 X iOS 애플리케이션은 Apple 앱 스토어에서 다운로드할 수 있습니다.
- 마일리지플러스 X Android 애플리케이션은 Google Play 스토어에서 다운로드할 수 있습니다.
아래에서 취약성 노출 프로그램의 적용 범위 내 및 범위 외 대상을 확인할 수 있습니다.
적용 범위 내
- *.united.com - 웹사이트 시험
- iOS용 유나이티드 모바일 앱 - 모바일 시험
- Android용 유나이티드 모바일 앱 - 모바일 시험
- iOS용 마일리지플러스 X 앱 - 모바일 시험
- Android용 마일리지플러스 X 앱 - 모바일 시험
적용 범위 외
유나이티드는 본 프로그램의 적용 범위 외로 간주되는 다양한 제3자 사이트/서비스를 이용합니다. 또한 적용 범위 목록은 변경될 수 있습니다. 다음 대상은 적용 범위 외로 간주됩니다.
- 기내 Wi-Fi, 엔터테인먼트 시스템 또는 항공기 전자장치
- 기업 이메일
- 제3자 애플리케이션/서비스
- 비생산 환경
- hotels.united.com
- vacations.united.com
- united.jobs
- newsroom.united.com
- ir.united.com
- hub.united.com
- jobs.united.com
- opinions.united.com
- globallinks.united.com
- dutyfree.united.com
- bigmetalbird.united.com
- globalservices.united.com
- uatp.united.com
- thanksamillion.united.com
- unitedmileageplus.com
- secure.unitedmileageplus.com
- newspaper-miles.com
- *.ual.com
- *.mileageplus.com
- cruises.united.com
- ualmiles.com
- unitedshop.summitmg.com
- united-veterans.jobs
- clubconferencerooms.united.com/unit
- theexplorercard.com
- mpclubcard.com
- myexplorercard.com
- unitedexplorecard.com
- unitedexplorer.com
- unitedexplorercard.com
- mileageplusawards.com
- mpdining.rewardsnetwork.com
- m.mpdining.rewardsnetwork.com
- news.united.com/responsys
- survey.continental.com/vovici.net
- booking.unitedcargo.com
- chargerback.com
참여 규정
- 취약성을 재현하고 입증하는 데 필요한 정보 등 취약성 확인 사항에 대한 상세정보를 제출 양식으로 작성하십시오.
- 모든 취약성은 보안 위협에 해당해야 보상을 받을 수 있습니다. 문제의 심각성을 판단할 책임은 궁극적으로 유나이티드에 있습니다.
- 발견한 취약성 또는 잠재 취약성은 공개적으로 혹은 제3자에게 공개할 수 없습니다. 이를 위반할 경우 보너스 마일리지 지급 부적격으로 처리됩니다.
- 데이터의 수정 또는 파기, 유나이티드 서비스의 중단 또는 저하 등 후속 공격을 시도하지 마십시오.
- 무차별 암호 대입 공격, 서비스 거부 공격, 회원 본인의 것이 아닌 유나이티드 계정의 손상 또는 시험을 시도하지 마십시오.
- 항공기 자체 또는 기내 엔터테인먼트나 Wi-Fi 등 항공기 내 시스템에 대한 모든 시험 행위를 시도하지 마십시오.
- 사회 공학 공격, 피싱 공격 또는 물리적 공격 등의 방법을 이용해 유나이티드 직원 또는 고객을 겨냥한 시도를 하지 마십시오.
- 유나이티드 공항 시설을 대상으로 한 물리적 공격을 수행하지 마십시오.
- 자동화된 스캐너/도구를 사용하지 마십시오.
제출 적격 취약성:
- 원격 코드 실행
- SQL 삽입
- XXE
- XSS
- 서버 측 요청 위조
- 디렉터리 접근 공격 - 로컬 파일 인클루전
- 인증/인증 우회(취약한 접근 제어)
- 권한 상승
- 안전하지 않은 직접 객체 참조
- 잘못된 구성
- 웹 캐시 디셉션
- CORS 잘못된 구성
- CRLF 삽입
- 사이트 교차 요청 위조
- 오픈 리다이렉트
- 정보 공개
- 요청 스머글링
- 혼합 콘텐츠
제출 부적격 취약성:
- 보안 모범 사례(보안 헤더 등)
- 사회 공학, 피싱
- 물리적 공격
- 누락 쿠키 플래그
- 최소 영향의 CSRF(로그인 CSRF, 로그아웃 CSRF 등)
- 콘텐츠 스푸핑
- 스택 추적, 경로 노출, 디렉터리 리스팅
- SSL/TLS 모범 사례
- 배너 그래빙
- CSV 주입
- 반영된 파일 다운로드
- 오래된 브라우저에 대한 보고
- DOS/DDOS
- 입증할 만한 영향이 없는 호스트 헤더 주입
- 스캐너 출력
- 제3자 제품의 취약성
- 사용자 열거
- 암호 복잡성
- HTTP 추적 메소드
- DMARC
- 클릭재킹
- SPF 레코드
- 불충분한 자동화 방지
- 비율 제한 공격
- Self-XSS
보고된 취약성의 심각성
적격 취약성 노출에 대한 보상은 취약성의 심각성에 따라 다를 수 있습니다. 유나이티드 보안 팀은 CVSS(공통 취약성 등급 시스템)와 OWASP 위험 평가 방법을 조합하여 제출 사항을 검토한 후 취약성의 심각성을 판단합니다. 신고자는 제출 사항이 유효한 경우 보상을 받게 됩니다. 복수 제출 사항은 유나이티드의 단독 재량에 따라 하나의 취약성으로 간주될 수 있습니다.
취약성 심각성에 따른 최대 지급 보너스 마일리지
심각성 | 최대 지급 보너스 마일리지 | |
---|---|---|
중요 | 1,000,000마일 |
|
높음 | 500,000마일 |
|
중간 | 250,000마일 |
|
낮음 | 50,000마일 |
|
정보성 | 0마일 |
정보 제출
정책 및 이용 약관을 이해하며 이에 동의함을 확인하고 여기에 포함된 제출 양식을 이용해 유나이티드 취약성 노출 프로그램에 보고서를 제출할 수 있습니다.