취약성 노출 프로그램

유나이티드는 고객의 안전, 보안, 그리고 개인 정보를 소중하게 여깁니다. 모범 사례를 활용하며, 시스템 보안에 자신합니다. 유나이티드는 고객께서 믿고 제출하신 개인 정보를 보호하기 위한 큰 노력의 일환으로 항공 업계 최초로 취약성 노출 프로그램을 실시합니다. 이 프로그램을 통해 당사의 보안을 더욱 강화하고, 지속적으로 탁월한 서비스를 제공할 수 있으리라 확신합니다. 유나이티드 웹사이트, 앱 및/또는 온라인 포털에 영향을 미칠 가능성이 있는 취약성을 발견하시면 당사에 알려 주십시오. 제출해 주신 내용이 당사 기준에 부합되면, 내어 주신 시간과 노력에 대해 보상해 드리겠습니다.

보안 취약성을 보고하기 전에 ‘유나이티드 약관’을 검토하시기 바랍니다. 취약성 노출 프로그램에 참여하면 본 약관 및 여기에 포함된 요건 및 지침을 준수함에 동의하는 것입니다.

취약성 노출 프로그램이란 무엇입니까?

취약성 노출 프로그램은 신고자가 기밀성, 고객 또는 기업 정보의 무결성 및/또는 가용성에 영향을 주는 보안 문제를 발견 및 보고하는 것을 허용하여 최초 신고자에게 보상을 제공하는 프로그램입니다.

자격 요건

제출 및 보상 지급의 공정성 및 관련성을 보장하기 위해, 신고자 및 취약성이 다음 요건을 포함하나 이에 국한되지 않는 유나이티드 노출 프로그램 약관에 따라 적격해야 합니다.

모든 취약성은 새로 발견된 것이어야 합니다. 보너스 마일리지는 특정 취약성을 가장 먼저 제출한 신고자에게만 제공됩니다.
신고자는 만 18세 이상의 유효한 마일리지플러스(MileagePlus®) 회원이어야 합니다. 아직 회원이 아니라면 지금 마일리지플러스 프로그램에 가입하세요.
신고자의 거주 국가가 미국의 제재국 목록에 포함되지 않아야 합니다.
취약성 신고자는 유나이티드항공, 스타 얼라이언스(Star Alliance™) 회원사 또는 기타 모든 제휴 항공사, 유나이티드항공 계약업체의 현재 또는 이전 직원이 아니어야 하며, 유나이티드항공 또는 제휴 항공사 직원의 가족 또는 동거인이 아니어야 합니다.
취약성 신고자는 해당 취약 코드의 작성자가 아니어야 하며 사전 관련성이 없어야 합니다.

대상 정보

유나이티드는 때때로 적격 취약성을 구성하는 요소를 판단할 수 있습니다. 아래는 유나이티드가 취약성 제출 항목을 검토하는 모든 대상을 요약한 것입니다.

유나이티드항공 상업 웹사이트(united.com)
유나이티드 iOS 및 Android 앱
- 유나이티드 iOS 애플리케이션은 Apple 앱 스토어에서 다운로드할 수 있습니다.
- 유나이티드 Android 애플리케이션은 Google Play 스토어에서 다운로드할 수 있습니다.
유나이티드 마일리지플러스 X iOS 및 Android 앱
- 마일리지플러스 X iOS 애플리케이션은 Apple 앱 스토어에서 다운로드할 수 있습니다.
- 마일리지플러스 X Android 애플리케이션은 Google Play 스토어에서 다운로드할 수 있습니다.

아래에서 취약성 노출 프로그램의 적용 범위 내 및 범위 외 대상을 확인할 수 있습니다.

적용 범위 내

*.united.com - 웹사이트 시험
iOS용 유나이티드 모바일 앱 - 모바일 시험
Android용 유나이티드 모바일 앱 - 모바일 시험
iOS용 마일리지플러스 X 앱 - 모바일 시험
Android용 마일리지플러스 X 앱 - 모바일 시험

적용 범위 외

유나이티드는 본 프로그램의 적용 범위 외로 간주되는 다양한 제3자 사이트/서비스를 이용합니다. 또한 적용 범위 목록은 변경될 수 있습니다. 다음 대상은 적용 범위 외로 간주됩니다.

기내 Wi-Fi, 엔터테인먼트 시스템 또는 항공기 전자장치
기업 이메일
제3자 애플리케이션/서비스
비생산 환경
hotels.united.com
vacations.united.com
united.jobs
newsroom.united.com
ir.united.com
hub.united.com
jobs.united.com
opinions.united.com
globallinks.united.com
dutyfree.united.com
bigmetalbird.united.com
globalservices.united.com
uatp.united.com
thanksamillion.united.com
unitedmileageplus.com
secure.unitedmileageplus.com
newspaper-miles.com
*.ual.com
*.mileageplus.com
cruises.united.com
ualmiles.com
unitedshop.summitmg.com
united-veterans.jobs
clubconferencerooms.united.com/unit
theexplorercard.com
mpclubcard.com
myexplorercard.com
unitedexplorecard.com
unitedexplorer.com
unitedexplorercard.com
mileageplusawards.com
mpdining.rewardsnetwork.com
m.mpdining.rewardsnetwork.com
news.united.com/responsys
survey.continental.com/vovici.net
booking.unitedcargo.com
chargerback.com

참여 규정

취약성을 재현하고 입증하는 데 필요한 정보 등 취약성 확인 사항에 대한 상세정보를 제출 양식으로 작성하십시오.
모든 취약성은 보안 위협에 해당해야 보상을 받을 수 있습니다. 문제의 심각성을 판단할 책임은 궁극적으로 유나이티드에 있습니다.
발견한 취약성 또는 잠재 취약성은 공개적으로 혹은 제3자에게 공개할 수 없습니다. 이를 위반할 경우 보너스 마일리지 지급 부적격으로 처리됩니다.
데이터의 수정 또는 파기, 유나이티드 서비스의 중단 또는 저하 등 후속 공격을 시도하지 마십시오.
무차별 암호 대입 공격, 서비스 거부 공격, 회원 본인의 것이 아닌 유나이티드 계정의 손상 또는 시험을 시도하지 마십시오.
항공기 자체 또는 기내 엔터테인먼트나 Wi-Fi 등 항공기 내 시스템에 대한 모든 시험 행위를 시도하지 마십시오.
사회 공학 공격, 피싱 공격 또는 물리적 공격 등의 방법을 이용해 유나이티드 직원 또는 고객을 겨냥한 시도를 하지 마십시오.
유나이티드 공항 시설을 대상으로 한 물리적 공격을 수행하지 마십시오.
자동화된 스캐너/도구를 사용하지 마십시오.

제출 적격 취약성:

원격 코드 실행
SQL 삽입
XXE
XSS
서버 측 요청 위조
디렉터리 접근 공격 - 로컬 파일 인클루전
인증/인증 우회(취약한 접근 제어)
권한 상승
안전하지 않은 직접 객체 참조
잘못된 구성
웹 캐시 디셉션
CORS 잘못된 구성
CRLF 삽입
사이트 교차 요청 위조
오픈 리다이렉트
정보 공개
요청 스머글링
혼합 콘텐츠

제출 부적격 취약성:

보안 모범 사례(보안 헤더 등)
사회 공학, 피싱
물리적 공격
누락 쿠키 플래그
최소 영향의 CSRF(로그인 CSRF, 로그아웃 CSRF 등)
콘텐츠 스푸핑
스택 추적, 경로 노출, 디렉터리 리스팅
SSL/TLS 모범 사례
배너 그래빙
CSV 주입
반영된 파일 다운로드
오래된 브라우저에 대한 보고
DOS/DDOS
입증할 만한 영향이 없는 호스트 헤더 주입
스캐너 출력
제3자 제품의 취약성
사용자 열거
암호 복잡성
HTTP 추적 메소드
DMARC
클릭재킹
SPF 레코드
불충분한 자동화 방지
비율 제한 공격
Self-XSS

보고된 취약성의 심각성

적격 취약성 노출에 대한 보상은 취약성의 심각성에 따라 다를 수 있습니다. 유나이티드 보안 팀은 CVSS(공통 취약성 등급 시스템)와 OWASP 위험 평가 방법을 조합하여 제출 사항을 검토한 후 취약성의 심각성을 판단합니다. 신고자는 제출 사항이 유효한 경우 보상을 받게 됩니다. 복수 제출 사항은 유나이티드의 단독 재량에 따라 하나의 취약성으로 간주될 수 있습니다.

취약성 심각성에 따른 최대 지급 보너스 마일리지

심각성	최대 지급 보너스 마일리지
중요	1,000,000마일
높음	500,000마일
중간	250,000마일
낮음	50,000마일
정보성	0마일

정보 제출

정책 및 이용 약관을 이해하며 이에 동의함을 확인하고 여기에 포함된 제출 양식을 이용해 유나이티드 취약성 노출 프로그램에 보고서를 제출할 수 있습니다.

유나이티드항공 취약성 노출 프로그램 규정
중요: 다음 규정, 유나이티드 개인정보 보호정책 및 마일리지플러스 프로그램 규정은 유나이티드항공 취약성 노출 프로그램(‘프로그램’)의 규정 및 기타 조항(총칭 ‘규정’)을 구성합니다. 프로그램에 참여하면 본 규정을 수락하며 이에 따르기로 동의하는 것입니다. 모든 규정을 읽고 숙지하는 것은 귀하의 책임입니다. 본 규정은 프로그램 사이트에 의해 보충될 수 있지만 유나이티드항공 또는 그 계열사(총칭 ‘유나이티드’)가 서면으로 대체 또는 변경하는 경우를 제외하고는 대체하거나 변경할 수 없습니다. 최신 규정은 united.com에서 찾을 수 있으며, 이것은 규정에 대한 최종본입니다. united.com의 규정은 이전 버전이나 상충하는 버전을 대체하는 것으로 간주됩니다.
일반 조항
1. 프로그램은 유나이티드의 재량에 따라 제공되는 것으로, 유나이티드는 언제든지 사전 통지와 함께 또는 사전 통지 없이 프로그램을 전체 또는 일부 종료하거나 규정, 혜택, 참가 조건, 자격 조건 또는 보너스 등급의 전체 또는 일부를 변경할 수 있는 권한이 있습니다.
2. 유나이티드는 취약성(‘취약성’)을 구성하는 요소를 판단하고 취약성 제출의 기준 및 과정과 이에 관련된 이익을 확립하며, 때때로 프로그램 사이트에 그러한 기준 및 과정을 게시할 수 있습니다.
3. 프로그램 참여는 프로그램 규정의 약관을 따르며, 법률상의 약정이나 형평성에 따른 어떠한 약정도 함축되거나 적용되지 않으며 이 모든 것은 명시적으로 부인됩니다. 프로그램 규정의 해석 및 적용에 대한 독자적 권리는 유나이티드에 있습니다. 어떠한 경우에도 유나이티드는 회원 또는 회원을 대신하는 사람에게 프로그램과 관련된 유나이티드의 행동 또는 누락으로 인해 발생하는 수익 또는 이익 감소, 변호사 선임 비용을 포함한 직접, 간접 또는 결과 손해에 대한 법적 책임이 없습니다. 프로그램 남용이나 프로그램 규정의 준수 실패, 법률, 규정 또는 법규 위반, 유나이티드 이익에 반하는 행위, 부정행위 또는 부정행위 시도, 유나이티드를 상대로 사기를 저지르기 위한 정보 유포, 회원의 유나이티드 또는 계열사 정보 허위 진술, 회원 또는 제3자 사칭(이하 ‘금지행위’)의 경우 유나이티드는 회원에게 통지 유무와 관계없이 (a) 해당 회원의 마일리지플러스 멤버십(해당하는 경우 프리미어 또는 밀리언 마일러 등급을 포함하나 이에 국한되지 않음) 종료, (b) 적립된 마일리지, 프리미어 자격 크레딧, 평생 마일리지, 보류 중이거나 처리 중인 어워드, 상품권 또는 혜택(해당하는 경우 프리미어(및/또는 밀리언 마일러) 등급과 관련된 모든 혜택을 포함하나 이에 국한되지 않음)의 일부 또는 전체를 유나이티드에서 삭제 또는 무효화, (c) 유나이티드의 재량에 따라 보너스 항공권 몰수, 보너스 항공권 소지자의 탑승 거부, 해당 수익 운임 결제(및 해당 세금 및 수수료) 시에만 여행 완료, (d) 다른 프로그램 및 마일리지플러스 프로그램 혜택의 상실과 같은 처리 방안(‘유나이티드 처리 방안’)을 하나 이상 실행할 수 있습니다. 앞서 말한 유나이티드의 처리 방안을 비롯하여 서면 요청에 따라 유나이티드는 회원에게 금지된 활동으로 인해 획득한 사용 보너스, 상품권 또는 혜택의 가치를 유나이티드에서 결정한 만큼 다시 지불하도록 합니다. 회원이 다시 지불할 수 없는 경우에는 소송을 취하여 금지된 활동으로 인해 회원이 획득한 사용 보너스, 상품권 또는 혜택의 가치를 회수합니다. ‘회원’은 유나이티드 마일리지플러스 회원을 말합니다.
4. 금지행위가 의심되는 경우 유나이티드는 고객에게 통지 유무에 관계없이 (a) 마일리지플러스 계정의 모든 활동을 지연 또는 중지(모든 마일리지 사용 활동 및 보너스, 상품권 또는 혜택에 대한 모든 마일리지 사용 요청 처리, 모든 프리미어(및/또는 밀리언 마일러) 회원 등급 혜택을 포함하나 이에 국한되지 않음), (b) 언제든지 마일리지플러스 계정을 검사 또는 조사할 권리가 있습니다. 감사 또는 조사 중 회원의 계정 정보는 해당 감사 또는 조사와 관련하여 유나이티드와 계약을 맺은 제3자와 공유될 수 있습니다. 계정이 중지되더라도 회원은 계속해서 계정에 마일 및 프리미어 자격 크레딧을 적립할 수 있으나 마일리지 사용 또는 기타 거래는 허용되지 않으며 처리 중인 보너스 사용, 상품권 및 혜택(해당되는 경우 모든 프리미어(및/또는 밀리언 마일러) 등급 혜택을 포함하나 이에 국한되지 않음)은 취소되거나 중지될 수 있습니다. 취소된 보너스 사용, 상품권 및 혜택은 유나이티드의 요청에 따라 유나이티드로 반환하여야 합니다. 감사 또는 조사에서 금지행위가 적발된 경우, 유나이티드는 자사의 처리 방안 또는 법률상 또는 형평법의 기타 처리 방안을 하나 이상 실행합니다.
5. 프로그램은 게임, 경기 또는 로열티 프로그램이 아닙니다.
6. 프로그램과 관련하여 이루어지는 모든 계산(취약성의 자격 및 심각성과 관련 보너스 마일리지를 포함하지만 이에 국한되지 않음)은 유나이티드가 단독 재량에 따라 이행하며, 그러한 계산은 최종적인 것으로 간주됩니다.
7. 프로그램은 제출 시 만 18세 이상이며 거주 국가가 현재 미국의 제재국 목록에 포함되지 않은 회원만 참여할 수 있습니다. United Airlines, Inc. 또는 그 모회사, 자회사, 계열사 및 스타 얼라이언스(Star Alliance™) 회원사 또는 기타 제휴 항공사, 대리인 또는 계약업체의 현재 또는 이전 직원, 책임자 및 이사[직계 가족(배우자, 부모, 형제 자매, 자녀) 또는 동거인(가족 관계 무관) 포함] 그리고 프로그램의 진행에 참여하는 직원은 참여할 수 없습니다.
8. 규정 위반에 대한 유나이티드의 면제 또는 동의와 처리 과정은 모두 다음 규정 위반에 대한 면제로 해석되지 않으며, 유나이티드는 그러한 면제 또는 동의에도 불구하고 규정을 위반하는 경우 유나이티드의 처리 방안을 적용할 수 있습니다.
9. 회원은 서면, 전화 또는 인터넷을 통한 업무 처리 시 보안 또는 기타 목적을 위해 비밀번호 및/또는 기타 보안 수단을 제공해야 합니다. 회원은 적용되는 바에 따라 비밀번호 및 기타 보안 자격 증명의 기밀 유지에 대한 책임이 있습니다.
10. 본 프로그램 참여 또는 본 규정에 그 어떤 부분도 회원과 유나이티드 또는 유나이티드 계열사와의 합작 투자, 제휴, 대리인 또는 고용 관계를 설립하거나 암시한다고 해석되어서는 안 됩니다.
11. 회원이 본 프로그램을 통해 습득 또는 수집하는 유나이티드, 유나이티드 계열사 또는 회원에 관한 정보는, 구두, 시각적, 서면 또는 전자 등 형태와 관계없이 독점, 기밀 정보(이하 ‘기밀 정보’)입니다. 본 프로그램으로 획득하는 정보 그리고/또는 자료가 대중에게 공개되지 않은 자료이거나, 이성적인 사람이 생각했을 때 해당 정보 또는 자료가 특성상 ‘독점’ 또는 ‘기밀’로 판단될 경우, 이는 ‘기밀 정보’에 해당합니다.
12. 기밀 정보는 유출할 수 없으며, 오직 본 프로그램과 관련된 목적으로만 이용 가능합니다. 기밀 정보를 유나이티드의 사전 서면 동의 없이 공개 또는 배포할 수 없습니다.
13. 회원은 본 프로그램 참여, 회원의 규정 침해 또는 프로그램의 부적절한 사용으로 인해 제3자가 제기하는 모든 클레임이나 요구 사항(변호사 비용 포함)에 관한 배상을 약속하며, 유나이티드와 유나이티드 계열사, 책임자, 이사, 대리인, 직원 또는 유나이티드 공급사와 공급사의 계열사의 책임을 면제합니다.
14. 프로그램 및 보너스의 발행 및 사용은 미국 외 일부 국가에서 법률에 따라 금지 또는 제한될 수 있습니다. 본 규정의 어떠한 조항도 미국 이외 지역 법률보다 우선하거나 회피하도록 해석될 수 없습니다. 유나이티드는 회원에게 통지 유무에 상관없이 프로그램 또는 회원의 프로그램 참여가 미국 이외 지역 법률을 위반하는 경우 유나이티드의 처리 방안을 하나 이상 실행할 수 있습니다.
  
  취약성
15. 발견한 취약성 또는 잠재 취약성은 공개적으로 혹은 제3자에게 공개할 수 없습니다. 이를 위반할 경우 회원은 마일리지 지급 부적격으로 처리됩니다.
16. 취약성은 새로 발견된 것이어야 하며 보너스 마일리지는 특정 취약성을 가장 먼저 제출한 회원에게만 제공됩니다. 이러한 회원은 유나이티드가 때때로 프로그램 사이트에 명시한 설명에 따라 행동해야 합니다.
17. 취약성은 제출 포털(또는 때때로 유나이티드가 지정한 기타 방법)을 통해 제출해야 하며 회원의 법적 이름, 마일리지플러스 회원 번호 및 전화번호, 취약성에 관한 상세한 설명 및 이를 뒷받침하는 증거를 포함해야 합니다.
18. 취약성의 유효성 및 심각성에 관한 판단은 전적으로 유나이티드의 재량입니다.
19. 회원은 유나이티드 고객, 회원 또는 기타 개인의 개인 정보에 사전 지식을 갖고, 또는 의도적으로 접근하거나 획득할 수 없습니다. 회원이 우연히 유나이티드 고객, 회원 또는 기타 개인의 개인 정보에 접근하거나 이를 획득한 경우, 회원은 즉시 영향을 미치는 행동을 중지하고 최대한 빨리 재현 방법을 기록하여 유나이티드에 통지해야 합니다.
20. 취약성을 제출하는 회원은 해당 취약 코드의 작성자가 아니어야 합니다.
21. 회원은 언제든 다음 행위를 해서는 안 됩니다.
  - 데이터의 수정 또는 파기, 유나이티드 서비스의 중단 또는 저하 등 후속 공격 시도
  - 무차별 암호 대입 공격, 서비스 거부 공격, 회원 본인 소유가 아닌 유나이티드 계정의 손상 또는 시험 시도
  - 항공기 자체 또는 기내 엔터테인먼트나 Wi-Fi 등 항공기 내 시스템에 대한 모든 시험 행위 시도
  - 사회 공학 공격, 피싱 공격 또는 물리적 공격 등 유나이티드 직원 또는 고객을 겨냥한 시도
  - 유나이티드 공항 시설을 대상으로 한 물리적 공격 수행
  - 자동화된 스캐너/도구 사용
  보너스 마일리지
22. 보너스 마일리지는 제출된 각 적격 취약성당 1회만 적립됩니다. 모든 취약성은 보안 위협에 해당해야 보너스 마일리지를 받을 수 있습니다.
23. 심각성에 따라 취약성당 제공되는 현재 보너스 마일리지는 때때로 프로그램 웹사이트에 게시될 수 있습니다. 일부 경우에는 상황에 따라 회원의 복수 제출 사항이 유나아티드의 단독 재량에 따라 하나의 취약성으로 간주될 수 있습니다.
24. 취약성에 대해 유나이티드의 단독 재량에 따라 적립 가능한 최대 보너스 마일리지가 제공될 수 있습니다.
25. 유나이티드는 취약성의 입증 및 확인을 거친 후, 각 적격 취약성에 대해 보너스 마일리지를 제공합니다.
26. 유나이티드가 명시적으로 허용한 경우를 제외하고, 하나의 취약성에 대해 받을 수 있는 최대 마일리지는 1백만 마일입니다.
27. 본 프로그램을 통해 제공되는 보너스 마일리지는 프리미어(Premier®) 자격 마일이 아닙니다.
28. 유나이티드는 마일리지가 실수로 적립된 경우 회원 계정 잔액을 조정할 권한이 있습니다.
  
  개인정보 보호정책
29. 프로그램에 가입함으로써 회원은 유나이티드가 자사 개인정보 보호정책에 따라 본인의 이름, 이메일 주소, 실제 주소, 계정 및 기타 정보를 포함하나 이에 국한되지 않는 정보를 수집, 유지관리, 이용, 처리 및 공유하도록 승인합니다. 유나이티드의 개인 정보 수집, 관리, 사용, 처리 및 공유에 대한 자세한 정보는 유나이티드 개인 정보 보호 정책에 자세히 안내되어 있으며, https://www.united.com/ual/en/us/fly/privacy.html에서 확인하실 수 있습니다. 유나이티드의 개인정보 보호정책은 관리 목적을 위한 명시에 불과하고, 계약이 아니며 어떠한 계약상의 권리나 법적 권리를 생성하지 않습니다. 유나이티드의 개인정보 보호정책은 본 규정의 일부가 아니며 그럴 의도도 없습니다.

계정에 로그인

취약성 노출 프로그램