Programa de recompensa por detección de errores de United Airlines

En United, nos tomamos muy en serio su seguridad, su protección y su privacidad. Utilizamos prácticas recomendadas y confiamos en la seguridad de nuestros sistemas. Nos comprometemos a proteger la privacidad de nuestros pasajeros y los datos personales que recibimos de ellos, motivo por el cual estamos ofreciendo un programa de recompensa por detección de errores, el primero de su tipo en la industria aeronáutica. Creemos que este programa reforzará aún más nuestra seguridad y nos permitirá seguir brindando un servicio de excelencia. Si cree que ha descubierto un posible error de seguridad que afecta a nuestros sitios web, aplicaciones o portales en línea, háganoslo saber. Si el error presentado cumple con nuestros requisitos, con mucho gusto lo recompensaremos por su tiempo y esfuerzo.

Antes de informar un error de seguridad, consulte los “Términos de United”. Al participar en el programa de recompensas por detección de errores, usted acepta cumplir dichos términos.

¿Qué es un programa de recompensas por detección de errores?

Un programa de recompensas por detección de errores permite a investigadores independientes descubrir e informar problemas que afectan la confidencialidad, integridad y/o disponibilidad de la información de clientes o de la compañía, y los recompensa por ser los primeros en descubrir un error.

Requisitos de elegibilidad

Para garantizar que las presentaciones y los pagos sean justos y pertinentes, se aplican los siguientes requisitos de elegibilidad y pautas a todos los investigadores que presenten informes de errores:

  • Todos los errores deben ser descubrimientos nuevos. Las millas de premio se otorgarán solo al primer investigador que presente un error de seguridad determinado.
  • El investigador debe ser un socio de MileagePlus en regla. Si aún no es socio, únase al programa MileagePlus ahora.
  • El investigador no debe residir en un país que figure actualmente en una lista de países sancionados por Estados Unidos.
  • El investigador que presenta el error no puede ser un empleado actual o un ex empleado de United Airlines, ni de ninguna aerolínea asociada a Star Alliance™ u otra aerolínea asociada, ni tampoco familiar o conviviente de un empleado de United Airlines o de alguna de las aerolíneas asociadas.
  • El investigador que presenta el error no puede ser el autor del código vulnerable.

Errores elegibles que se pueden presentar:

  • Omisión de autenticación
  • Errores en aplicaciones operadas por United orientadas al cliente, por ejemplo:
    • united.com
    • mystatus.united.com
    • wechat.united.com
  • Errores en la aplicación de United
  • Errores en activos de terceros cargados por aplicaciones operadas por United orientadas al cliente
  • Falsificación de solicitud entre sitios
  • Ataque de scripts de sitios (XSS)
  • Posible divulgación de información
  • Ejecución de código remoto
  • Ataques sincronizados que prueben la existencia de un repositorio, usuario o reservación privados
  • La capacidad de enumerar reservaciones, números de MileagePlus, PIN o contraseñas (Nota: No intente ataques de fuerza bruta a nuestros sistemas. Reporte el error potencial y verificaremos su validez).

Errores no elegibles para su presentación:

  • Errores que solo afecten a buscadores, plugins o sistemas operativos anteriores o no compatibles
  • Errores en sitios internos para empleados o agentes de United (no orientados al cliente)
  • Errores en aplicaciones que no son operadas por United, por ejemplo:
    • cruises.united.com
    • hotels.united.com
    • hub.united.com
    • unitedmileageplus.com
    • vacations.united.com
  • Errores en la conexión Wi-Fi, los sistemas de entretenimiento o la aviónica a bordo
  • Configuración de cookies no segura para cookies no confidenciales
  • Errores presentados anteriormente
  • Ataque de scripts de sitios autogenerado
  • Vulnerabilidades que solo se aplican a usted o su cuenta
  • Cuestiones de divulgación del banner del servidor web

No intente:

Intentar cualquiera de las siguientes acciones dará lugar a la descalificación permanente del programa de recompensas por detección de errores y a una eventual investigación penal y/o legal. No autorizamos ninguna acción que pudiera afectar de forma negativa la experiencia de otros clientes de United en nuestros sitios web, aplicaciones o portales en línea.

  • Ataques por fuerza bruta
  • Inyección de código en sistemas activos
  • Ataques por interrupción o denegación de servicio
  • El compromiso o la realización de pruebas en cuentas de MileagePlus que no sean la propia
  • Cualquier prueba en aeronaves o sistemas de aeronaves como entretenimiento a bordo o Wi-Fi a bordo
  • Cualquier amenaza, intento de coerción o extorsión de empleados de United, empleados de aerolíneas asociadas a Star Alliance, empleados de otras aerolíneas asociadas o clientes
  • Ataques físicos contra empleados de United, empleados de aerolíneas asociadas a Star Alliance, empleados de otras aerolíneas asociadas o clientes
  • Escaneos de vulnerabilidad o automatizados en servidores de United (incluidos escaneos con herramientas como Acunetix, Core Impact o Nessus)

Recompensas

Si usted ha descubierto un error de seguridad que cumple con los requisitos, y es el primer investigador elegible en informarlo, con mucho gusto lo recompensaremos por sus esfuerzos. A continuación se detalla nuestra estructura de pago de recompensas

Estructura de pago de recompensas por detección de errores
Gravedad Ejemplos Pago máximo en millas de premio
Máxima
  • Ejecución de código remoto
1,000,000
Medio
  • Omisión de autenticación
  • Ataques por fuerza bruta
  • Posible divulgación de información de identificación personal (PII)
  • Ataques sincronizados
250 000
Baja
  • Ataque de scripts de sitios
  • Falsificación de solicitud entre sitios
  • Errores de seguridad de terceros que afectan a United
50 000

Estructura de pago de recompensas por detección de errores

  • Ejemplos

    • Ejecución de código remoto
  • Pago máximo en millas de premio

    1,000,000

  • Ejemplos

    • Omisión de autenticación
    • Ataques por fuerza bruta
    • Posible divulgación de información de identificación personal (PII)
    • Ataques sincronizados
  • Pago máximo en millas de premio

    250 000

  • Ejemplos

    • Ataque de scripts de sitios
    • Falsificación de solicitud entre sitios
    • Errores de seguridad de terceros que afectan a United
  • Pago máximo en millas de premio

    50 000

Presentaciones

Si cree que ha descubierto un error de seguridad elegible, estaremos encantados de trabajar junto a usted para resolver el problema.

  • Envíenos un correo electrónico a bugbounty@united.com e incluya “Bug Bounty Submission” en la línea de asunto.
  • En el cuerpo del correo electrónico, describa la naturaleza del error junto con los pasos requeridos para replicarlo, así como las aplicaciones, programas o herramientas pertinentes utilizadas para descubrir el error y la fecha y hora en que se realizaron las pruebas.
  • Incluya su nombre legal, número de MileagePlus, teléfono y dirección IP al momento de la realización de las pruebas en su presentación.
  • Agradeceremos que el informe incluya impresiones de pantalla legibles.

No dude en escribirnos a bugbounty@united.com si tiene alguna pregunta en relación con el programa de recompensa por detección de errores. Dado que recibimos muchas presentaciones a través de este programa, es probable que no podamos responder su correo electrónico en el momento, pero lo haremos tan pronto como sea posible. Quedamos a la espera de sus noticias.

    • Los términos de United rigen su participación en el programa, y es su responsabilidad leerlos y comprenderlos en su totalidad. El programa se ofrece a discreción de United Airlines y sus afiliados, y United tiene el derecho de dar por terminado o modificar el Programa, así como las reglas, los procedimientos, los beneficios o las condiciones de participación del programa, en forma total o parcial, en cualquier momento, con o sin aviso (“Reglas del programa”). Las reglas del programa complementan los términos y condiciones y avisos legales de united.com, la política de privacidad de United y las reglas del programa MileagePlus (denominados colectivamente con las reglas del programa como "términos de United").
    • Al participar, usted acepta cumplir los términos de United.
    • El programa no es un juego ni una competencia, sino un programa de premios experimental y discrecional. La oferta es válida para “errores” que califiquen presentados a partir del 11 de mayo 2015 inclusive. Podemos cancelar el programa en cualquier momento, y la decisión de pagar o no pagar las millas de premio queda a entera discreción de United.
    • La oferta del programa de “recompensas por detección de errores” de United está abierta únicamente para socios MileagePlus de United que sean mayores de 14 años al momento de la presentación. La oferta no es válida donde la ley lo prohíba. No son elegibles los empleados, funcionarios y directores actuales y antiguos (y sus respectivos familiares directos [cónyuge, padres, hermanos, hijos] o personas convivientes [con o sin relación familiar]) de United Airlines, Inc. o sus compañías matriz, subsidiarias, afiliadas, agentes o contratistas, ni nadie que participe en la administración del programa de recompensas por detección de errores.
    • Los errores deben enviarse a bugbounty@united.com e incluir el nombre legal, el número de MileagePlus y el número telefónico del investigador, así como una descripción detallada del error y evidencia de respaldo.
    • Los errores deben ser descubrimientos nuevos. Las millas de premio se otorgarán únicamente al primer investigador elegible que envíe un error determinado.
    • En caso de divulgación de PII que no sea de su propia cuenta de prueba, cese la actividad afectante y documente los pasos a replicar tan pronto como sea posible.
    • El investigador que presenta el error no puede ser el autor del código vulnerable.
    • Los errores o posibles errores que descubra no se pueden divulgar públicamente ni a terceros en ningún momento. En caso de hacerlo, quedará descalificado para recibir millas de premio.
    • No debe acceder, deliberada o intencionalmente, a información personal de ningún cliente o socio de United, ni obtenerla. En caso de que se determine que usted accedió, deliberada o intencionalmente, a la información personal de un cliente o socio de United, inmediatamente dejará de ser elegible para participar en el presente Programa. En el caso en que acceda a la información personal de un cliente o socio de United o la obtenga, debe cesar inmediatamente toda actividad.
    • Las millas de premio solo pueden ganarse una vez por cada error que califique presentado. Puede ganar millas de premio bonificadas un número ilimitado de veces, conforme a estos términos y condiciones.
    • Tenga en cuenta que los pagos de millaje están sujetos a los impuestos de su país de residencia y ciudadanía a una tasa del 2 % por milla que se agrega a sus ganancias anuales. Usted es responsable de cualquier implicación fiscal. Si prefiere donar sus millas a una organización benéfica, infórmenos al respecto.
    • United proporcionará un pago por cada error que califique una vez que haya sido reparado. Idealmente, aspiramos a reparar los problemas dentro de los 90 días siguientes a la confirmación de los errores que califiquen.
    • Ni su participación en el programa, ni nada de lo contenido en los términos de United se considerará como que crea o implica un emprendimiento conjunto, asociación, ni relación de agencia o empleo entre usted y United o sus afiliados.
    • Toda información que reciba o recopile sobre United o sus afiliados o socios a través del Programa, ya sea en formato oral, visual, escrito o electrónico, podrá ser considerada exclusiva y confidencial (“Información confidencial”). Para los fines del programa, la información y/o material se considerará "información confidencial" si tal información y/o material no están generalmente disponibles para el público, o si dada la naturaleza de la información o material, una persona razonable consideraría tal información y/o material "confidencial" o "propietario".
    • La Información confidencial debe mantenerse confidencial y utilizarse únicamente en relación con el Programa. Usted no puede utilizar, divulgar o distribuir tal información confidencial sin el consentimiento previo por escrito de United.
    • Usted acepta defender, indemnizar y eximir a United y sus afiliados, así como a los funcionarios, directores, agentes, empleados y proveedores de United y sus afiliados de cualquier reclamo o demanda (incluidos honorarios de abogados) realizados o incurridos por terceros que surjan como consecuencia de su participación en el programa, su incumplimiento de los términos de United o su uso indebido del Programa.
    • Las millas de premio ofrecidas de conformidad con el presente programa no son millas que califican para Premier®.
    • Oferta sujeta a cambios sin previo aviso. Pueden aplicar otras restricciones.
    • Las millas acumuladas, los premios y los beneficios otorgados están sujetos a cambios y a las reglas del programa MileagePlus de United, incluido, entre otros, el programa Premier®, que se integra de forma expresa en el presente. United puede cambiar el programa MileagePlus, lo que incluye, entre otros, las normas y reglas, los premios de vuelos y las ofertas especiales, o dar por terminado el programa MileagePlus en cualquier momento y sin previo aviso. United y sus subsidiarias, afiliados y agentes no son responsables de los productos o servicios de otras empresas y socios participantes. El pago de impuestos y los cargos relacionados con el viaje de premio son responsabilidad del socio. Las millas de premio bonificadas, las millas de premio y otras millas ganadas mediante actividades no relacionadas con vuelos no cuentan para calificar para el estatus Premier, a menos que se indique expresamente lo contrario. La acumulación de millaje, el estatus Premier o cualquier otro estatus no supone que los socios tienen derechos adquiridos con respecto al Programa MileagePlus. United Airlines y MileagePlus realizarán todos los cálculos a su discreción con respecto al Programa MileagePlus de United o el Programa Premier; lo que incluye, entre otros, la acumulación de millas, el cumplimiento de los requisitos de calificación del Programa Premier y/o los ajustes a los cálculos (incluidos los estimados), y estos cálculos se considerarán finales. La información aquí contenida, relacionada con el programa MileagePlus, no pretende ser completa ni exhaustiva, puede no incluir todos los datos importantes para los socios y se califica en su totalidad consultando toda la información incluida en el sitio web united.com y en las reglas del programa MileagePlus. United y MileagePlus son marcas de servicio registradas. Para obtener detalles completos sobre el programa MileagePlus, visite united.com/MileagePlus