Bug-Bounty-Programm von United Airlines

Bei United® nehmen wir Ihre Sicherheit, Ihren Schutz und Ihre Privatsphäre ernst. Wir wenden beste Vorgehensweisen an und sind davon überzeugt, dass unsere Systeme sicher sind. Wir engagieren uns für den Schutz der Privatsphäre und der persönlichen Daten, die wir von unseren Kunden erhalten. Deshalb bieten wir das Bug-Bounty-Programm an – in der Luftverkehrsbranche das erste seiner Art. Wir glauben, dass dieses Programm unsere Sicherheit weiter verbessern und uns ermöglichen wird, weiterhin einen herausragenden Service zu bieten. Wenn Sie glauben, einen möglichen Sicherheitsfehler gefunden zu haben, der sich negativ auf unsere Websites, Apps und/oder Online-Portale auswirkt, informieren Sie uns bitte darüber. Wenn die Einreichung unsere Anforderungen erfüllt, belohnen wir Sie gerne für Ihre Zeit und Mühe.

Bevor Sie einen Sicherheitsfehler melden, lesen Sie bitte die „United-Bedingungen“. Durch die Teilnahme am Bug-Bounty-Programm stimmen Sie der Einhaltung dieser Geschäftsbedingungen zu.

Was ist das Bug-Bounty-Programm?

Ein Bug-Bounty-Programm erlaubt es unabhängigen Forschern, Probleme, die die Vertraulichkeit, Integrität und/oder Verfügbarkeit von Kunden- oder Unternehmensinformationen betreffen, zu entdecken und zu melden und eine Prämie dafür zu erhalten, einen Programmfehler zuerst entdeckt zu haben.

Teilnahmeanforderungen

Um sicherzustellen, dass Einsendungen und Auszahlungen fair und relevant sind, gelten für alle Forscher, die Meldungen über Programmfehler einsenden, folgende Teilnahmeanforderungen und Richtlinien:

  • Bei allen Programmfehlern muss es sich um neue Entdeckungen handeln. Es erhält nur der erste Forscher Prämienmeilen, der einen bestimmten Sicherheitsfehler einreicht.
  • Der Forscher muss ein vollberechtigtes Mitglied von MileagePlus sein. Falls Sie noch nicht Mitglied sind, melden Sie sich jetzt beim MileagePlus-Programm an.
  • Der Forscher darf nicht in einem Land wohnhaft sein, das sich zurzeit auf einer Sanktionsliste der USA befindet.
  • Der Forscher, der den Programmfehler einsendet, darf kein aktueller oder ehemaliger Mitarbeiter von United Airlines, einer Mitgliedsfluggesellschaft der Star Alliance™ ist, bzw. einer anderen Partnerfluggesellschaft, ein Familienmitglied eines Mitarbeiters von United Airlines oder einer Partnerfluggesellschaft oder dem gleichen Haushalt zugehörig sein.
  • Der Forscher, der den Programmfehler einsendet, darf nicht Autor des anfälligen Codes sein.

Für die Einsendung qualifizierte Programmfehler:

  • Authentication bypass
  • Bugs on United-operated, customer-facing applications such as:
    • united.com
    • mobile.united.com
    • mystatus.united.com
    • smartphone.continental.com
    • wechat.united.com
  • Bugs on the United app
  • Bugs in third-party assets loaded by United-operated, customer-facing applications
  • Cross-site request forgery
  • Cross-site scripting (XSS)
  • Potential for information disclosure
  • Remote code execution
  • Timing attacks that prove the existence of a private repository, user or reservation
  • The ability to enumerate reservations, MileagePlus numbers, PINs or passwords (Note: Please do not attempt brute-force attacks on our systems. Report the potential bug and we will verify its validity.)

Für die Einsendung nicht qualifizierte Programmfehler:

  • Bugs that only affect legacy or unsupported browsers, plugins or operating systems
  • Bugs on internal sites for United employees or agents (not customer-facing)
  • Bugs on applications that are not operated by United, such as:
    • cruises.united.com
    • hotels.united.com
    • hub.united.com
    • unitedmileageplus.com
    • vacations.united.com
  • Bugs on onboard Wi-Fi, entertainment systems or avionics
  • Insecure cookie settings for non-sensitive cookies
  • Previously submitted bugs
  • Self-cross-site scripting
  • Vulnerabilities that apply only to you or your own account
  • Web server banner disclosure issues

Unterlassen Sie Folgendes:

Die versuchte Durchführung einer der folgenden Aktionen führt zur dauerhaften Disqualifizierung vom Bug-Bounty-Programm und kann eine strafrechtliche und/oder rechtliche Untersuchung nach sich ziehen. Wir gestatten keine Handlungen, die sich negativ auf die Erfahrung anderer United-Kunden auf unseren Websites, Apps oder Online-Portalen auswirken könnten.

  • Brute-Force-Angriffe
  • Code-Injection-Angriffe auf Live-Systeme
  • Störungen oder Denial-of-Service-Angriffe
  • Die Gefährdung oder das Testen von MileagePlus-Konten, die nicht Ihnen gehören
  • Jegliche Tests an Flugzeugen oder Flugzeugsystemen, z. B. Bordunterhaltung oder das Wi-Fi an Bord
  • Jegliche Drohungen, versuchte Nötigung oder Erpressung von Mitarbeitern von United, Mitarbeitern von Mitgliedsfluggesellschaften der Star Alliance, Mitarbeitern anderer Partnerfluggesellschaften oder Kunden
  • Körperliche Angriffe gegen Mitarbeiter von United, Mitarbeiter von Mitgliedsfluggesellschaften der Star Alliance, Mitarbeiter anderer Partnerfluggesellschaften oder Kunden
  • Verletzlichkeitsscans oder automatische Scans auf United-Servern (einschließlich Scans unter Verwendung von Tools wie Acunetix, Core Impact oder Nessus)

Bounties

If you have discovered a security bug that meets the requirements, and you're the first eligible researcher to report it, we will gladly reward you for your efforts. Below is our bounty payout structure, which is based on the severity and impact of bugs.

Bug-Bounty-Auszahlungsstruktur
Schwere Beispiele Maximale Auszahlung in Prämienmeilen
Höchsttemperatur
  • Remote Code Execution
1.000.000
Mittel
  • Umgehung der Authentifizierung
  • Brute-Force-Angriffe
  • Potenzial für die Offenlegung persönlich identifizierbarer Informationen (PII)
  • Timing-Angriffe
250.000
Vorsaison
  • Cross-Site-Scripting
  • Cross-Site-Request-Forgery
  • Sicherheitsfehler bei Dritten, die United betreffen
50.000

Bug-Bounty-Auszahlungsstruktur

  • Beispiele

    • Remote Code Execution
  • Maximale Auszahlung in Prämienmeilen

    1.000.000

  • Beispiele

    • Umgehung der Authentifizierung
    • Brute-Force-Angriffe
    • Potenzial für die Offenlegung persönlich identifizierbarer Informationen (PII)
    • Timing-Angriffe
  • Maximale Auszahlung in Prämienmeilen

    250.000

  • Beispiele

    • Cross-Site-Scripting
    • Cross-Site-Request-Forgery
    • Sicherheitsfehler bei Dritten, die United betreffen
  • Maximale Auszahlung in Prämienmeilen

    50.000

Einreichungen

Wenn Sie glauben, dass Sie einen qualifizierten Sicherheitsfehler entdeckt haben, würden wir gerne mit Ihnen zusammenarbeiten, um das Problem zu beheben.

  • Bitte senden Sie uns eine E-Mail an bugbounty@united.com und geben Sie im Betreff „Bug Bounty Submission“ an.
  • Beschreiben Sie im Text der E-Mail bitte die Art des Fehlers, die erforderlichen Schritte, um ihn zu reproduzieren, sowie die Anwendungen, Programme oder Tools, mithilfe derer Sie den Fehler entdeckt haben. Bitte geben Sie auch an, an welchem Datum und zu welcher Uhrzeit die Tests durchgeführt wurden.
  • Geben Sie bitte auch Ihren vollen Namen, Ihre MileagePlus-Nummer, Telefonnummer und IP-Adresse zum Testzeitpunkt an.
  • Gerne erhalten wir auch einen erstellten Bericht mit leserlichen Screenshots.

Bitte setzen Sie sich mit uns unter bugbounty@united.com in Verbindung, falls Sie bezüglich des Bug-Bounty-Programms Fragen haben. Wir erhalten im Rahmen dieses Programms viele Einreichungen und können Ihre E-Mail daher möglicherweise nicht sofort beantworten. Wir werden jedoch baldmöglichst antworten. Wir freuen uns, von Ihnen zu hören.

    • Für Ihre Teilnahme an dem Programm gelten die Geschäftsbedingungen von United und es liegt in Ihrer Verantwortung, diese in ihrer Gesamtheit zu lesen und zur Kenntnis zu nehmen. Das Programm wird im Ermessen von United Airlines und seinen angegliederten Unternehmen angeboten, und United hat das Recht, das Programm, die Programmregeln, die Verfahren, die Vorteile oder die Teilnahmebedingungen ganz oder teilweise jederzeit mit oder ohne Ankündigung zu beenden oder zu ändern („Programmregeln“). Die Programmregeln ergänzen die allgemeinen Geschäftsbedingungen und die rechtlichen Hinweise von united.com, die Datenschutzrichtlinie von United und die Regeln des MileagePlus-Programms (zusammen mit den Programmregeln die „United-Geschäftsbedingungen“).
    • Durch Ihre Teilnahme stimmen Sie zu, die United-Geschäftsbedingungen einzuhalten.
    • Bei dem Programm handelt es sich nicht um ein Spiel oder Gewinnspiel, sondern um ein experimentelles und frei verfügbares Prämienprogramm. Das Angebot für die Einreichung von qualifizierten Programmfehlern ist bis einschließlich 11. Mai 2015 gültig. Wir können das Programm jederzeit beenden und die Entscheidung darüber, Prämienmeilen auszuzahlen oder nicht, liegt im alleinigen Ermessen von United.
    • Das „Bug-Bounty“-Angebot von United steht nur MileagePlus-Mitgliedern von United offen, die zum Zeitpunkt der Einreichung mindestens 14 Jahre alt sind. Das Angebot gilt nicht, wo es verboten ist, und unterliegt allen gesetzlichen Bestimmungen. Aktuelle oder ehemalige Mitarbeiter, leitende Angestellte und Direktoren (und ihre entsprechenden engen Familienangehörigen (Ehepartner, Eltern, Geschwister, Kinder) oder Angehörige des Haushalts (ob verwandt oder nicht)) von United Airlines, Inc., oder dessen Muttergesellschaft(en), Tochtergesellschaften, angegliederte Unternehmen, Agenten oder Vertragsnehmer sowie alle an der Verwaltung des Bug-Bounty-Programms Beteiligten sind nicht teilnahmeberechtigt.
    • Programmfehler müssen an bugbounty@united.com gesendet werden und den offiziellen Namen, die MileagePlus-Nummer und die Telefonnummer des Forschers sowie eine Beschreibung des Programmfehlers und unterstützende Nachweise enthalten.
    • Bei Programmfehlern muss es sich um neue Entdeckungen handeln. Es erhält nur der erste teilnahmeberechtigte Forscher Prämienmeilen, der einen bestimmten Programmfehler einsendet.
    • Falls Sie andere PII als die ihres eigenen Testkontos offenlegen, stellen Sie die betreffende Aktivität bitte ein und dokumentieren Sie die Schritte zur Wiederholung des Programmfehlers so bald wie möglich.
    • Der Forscher, der den Programmfehler einsendet, darf nicht Autor des anfälligen Codes sein.
    • Von Ihnen entdeckte Programmfehler oder potenzielle Programmfehler dürfen nicht öffentlich oder gegenüber Dritten offengelegt werden. Eine Zuwiderhandlung führt zu Ihrer Disqualifikation vom Erhalt von Prämienmeilen.
    • Sie dürfen nicht wissentlich oder absichtlich auf die persönlichen Informationen von Kunden oder Mitgliedern von United zugreifen oder sich diese aneignen. Falls festgestellt wird, dass Sie wissentlich oder absichtlich auf die persönlichen Informationen von Kunden oder Mitgliedern von United zugegriffen haben, werden Sie sofort von diesem Programm ausgeschlossen. Falls Sie unabsichtlich auf persönliche Informationen von Kunden oder Mitgliedern von United zugreifen oder sich diese aneignen, müssen Sie alle Aktivitäten sofort einstellen.
    • Prämienmeilen können einmalig für jeden qualifizierten, eingereichten Programmfehler erhalten werden. Sie können den Prämienmeilen im Rahmen dieser allgemeinen Geschäftsbedingungen unbegrenzt oft sammeln.
    • Beachten Sie bitte, dass die Auszahlungen von Meilen den an Ihrem Wohnsitz gültigen Gebühren in Höhe von 2 % pro Meile unterliegen. Diese werden Ihrem Jahreserhalt an Meilen hinzugefügt. Sie sind verantwortlich für sämtliche geltende steuerliche Auswirkungen. Teilen Sie uns mit, wenn Ihre Meilen an wohltätige Organisationen gespendet werden sollen.
    • United bietet eine Auszahlung für jeden qualifizierten Programmfehler, sobald das Problem behoben wurde. Unser angestrebter Zeitrahmen für die Behebung jedes gültigen eingereichten Problems beträgt 90 Tage nach der Bestätigung des qualifizierten Programmfehlers.
    • Weder Ihre Teilnahme am Programm, noch jeglicher Inhalt in den Geschäftsbedingungen von United schafft oder impliziert ein Joint-Venture, eine Partnerschaft, eine Agentur oder ein Beschäftigungsverhältnis zwischen Ihnen und United oder seinen angegliederten Unternehmen.
    • Informationen, die Sie über United, seine angegliederten Unternehmen oder Mitglieder durch das Programm erhalten oder sammeln, ob in mündlicher, visueller, schriftlicher oder elektronischer Form, sind geschützt und vertraulich („Vertrauliche Informationen“). Zum Zweck des Programms sind Informationen und/oder Material „vertrauliche Informationen“, wenn diese Informationen und/oder dieses Material andernfalls der Öffentlichkeit nicht allgemein verfügbar ist oder eine vernünftige Person solche Informationen und/oder solches Material aufgrund seiner Beschaffenheit als „vertraulich“ oder „geschützt“ ansehen würde.
    • Vertrauliche Informationen müssen vertraulich behandelt und dürfen nur in Verbindung mit diesem Programm verwendet werden. Sie dürfen solche vertraulichen Informationen ohne die vorherige schriftliche Zustimmung von United nicht verwenden, offenlegen oder weitergeben.
    • Sie erklären sich damit einverstanden, United, seine angegliederten Unternehmen und die leitenden Angestellten, Direktoren, Agenten, Mitarbeiter und Anbieter von United schadlos zu halten von allen Ansprüchen oder Forderungen (einschließlich Anwaltskosten), die aus Ihrer Teilnahme an dem Programm, Ihrem Verstoß gegen die Geschäftsbedingungen von United oder der unsachgemäßen Verwendung des Programms Ihrerseits entstehen oder daraus resultieren.
    • Die im Rahmen dieses Programms angebotenen Prämienmeilen sind keine für den Premier® qualifying miles.
    • Das Angebot kann ohne Vorankündigung geändert werden. Es gelten eventuell weitere Einschränkungen.
    • Angesammelte Meilen, Prämien und gewährte Vorteile können sich jederzeit ändern und unterliegen den Bestimmungen des MileagePlus-Programms von United und somit ohne Einschränkungen dem Premier®-Programm auf die hierin ausdrücklich Bezug genommen wird. United kann MileagePlus-Programmbestimmungen, wie z. B. die Regelungen, Reiseprämien und Sonderangebote, nach eigenem Ermessen ändern oder das MileagePlus-Programm jederzeit und ohne Ankündigung beenden. United, seine Tochtergesellschaften, Zweigorganisationen und Mitarbeiter sind nicht verantwortlich für Produkte oder Dienstleistungen von anderen beteiligten Unternehmen und Partnern. Alle anfallenden Steuern und Gebühren für Prämienbuchungen sind vom Mitglied zu tragen. Bonusprämienmeilen, Prämienmeilen und andere Meilen, die durch Nicht-Flug-Aktivitäten gesammelt wurden, werden nicht für die Qualifikation für den Premier-Status berücksichtigt, wenn nicht ausdrücklich angegeben. Das Sammeln von Meilen oder Erreichen eines Premier- oder anderen Status berechtigt Mitglieder zu keinen Anwartschaften in Bezug auf das MileagePlus-Programm. Alle Berechnungen im Zusammenhang mit dem MileagePlus-Programm bzw. dem Premier-Programm von United, einschließlich ohne Einschränkung der Anhäufung von Meilen und der Erfüllung der Qualifikationsbedingungen des Premier-Programms und/oder revidierten Berechnungen (einschließlich etwaiger Schätzungen) werden von United Airlines und MileagePlus nach ihrem Ermessen erstellt und sind endgültig und verbindlich. Die Informationen in Bezug auf das MileagePlus-Programm in dieser Mitteilung erheben keinen Anspruch auf Vollständigkeit und enthalten möglicherweise nicht alle Informationen, die Mitglieder für wichtig erachten, und sind in ihrer Gesamtheit durch Verweis auf alle Informationen auf der Website united.com und in den MileagePlus-Programmregeln qualifiziert. United und MileagePlus sind eingetragene Dienstleistungsmarken. Alle Einzelheiten zum MileagePlus-Programm finden Sie unter united.com/mileageplus