ユナイテッド航空バグ発見報奨プログラム

ユナイテッドにとって、お客様の安全、セキュリティ、およびプライバシーは最重要事項です。 ユナイテッドでは、ベストプラクティスを活用して、確実にシステムの安全性を確保しています。 ユナイテッドでは、プライバシーとお客様から受け取った個人情報の保護に集中的に取り組んでいます。この取り組みこそが、航空業界初のこととして、バグ発見報奨プログラムを実施している理由です。 ユナイテッドでは、このプログラムによりセキュリティが大幅に向上し、優れたサービスを提供し続けることができると考えています。 弊社のウェブサイト、アプリ、オンラインポータルでバグの可能性のある問題を見つけられた場合は、ユナイテッドまでお知らせください。 お知らせいただいた内容が弊社の条件を満たしている場合、お客様のご協力へのお礼として特典マイルを進呈いたします。

セキュリティの問題を報告する前に、「ユナイテッドの規約」をご確認ください。 バグ発見報奨プログラムに参加されると、お客様はこれらの条件に同意されたことになります。

バグ発見報奨プログラムとは

バグ発見報奨プログラムでは、社外の調査実施者が、お客様や企業の情報の機密性、整合性、可用性に影響する問題を検出し報告することができます。また、バグを最初に発見した方には報奨マイルを進呈いたします。

プログラム対象要件

提出書類と報奨マイルの進呈が公正かつ有効に実施されるように、バグを報告する調査実施者全員に次のプログラム対象要件とガイドラインが適用されます。

  • すべてのバグは新たに検出されたものである必要があります。 特典マイルは、特定のセキュリティ上のバグを最初に報告された調査実施者のみに進呈されます。
  • 調査実施者は、優良なマイレージプラス会員である必要があります。 まだ会員でない方は、今すぐマイレージプラスプログラムにご登録ください
  • 米国の現行の制裁リストに記載されている国に居住しておられる方は、バグ発見報奨プログラムにご参加いただけません。
  • ユナイテッド航空、スターアライアンス加盟航空会社、または他の提携航空会社の現在または過去の従業員、あるいはユナイテッド航空またはパートナー航空会社の従業員の家族または同一世帯の方は、バグ発見報奨プログラムにご参加いただけません。
  • 脆弱性が見つかったコードの作成者本人が、バグ発見報奨プログラムでそのバグを報告することはできません。

報告の対象となるバグ:

  • Authentication bypass
  • Bugs on United-operated, customer-facing applications such as:
    • united.com
    • mobile.united.com
    • mystatus.united.com
    • smartphone.continental.com
    • wechat.united.com
  • Bugs on the United app
  • Bugs in third-party assets loaded by United-operated, customer-facing applications
  • Cross-site request forgery
  • Cross-site scripting (XSS)
  • Potential for information disclosure
  • Remote code execution
  • Timing attacks that prove the existence of a private repository, user or reservation
  • The ability to enumerate reservations, MileagePlus numbers, PINs or passwords (Note: Please do not attempt brute-force attacks on our systems. Report the potential bug and we will verify its validity.)

報告の対象とならないバグ:

  • Bugs that only affect legacy or unsupported browsers, plugins or operating systems
  • Bugs on internal sites for United employees or agents (not customer-facing)
  • Bugs on applications that are not operated by United, such as:
    • cruises.united.com
    • hotels.united.com
    • hub.united.com
    • unitedmileageplus.com
    • vacations.united.com
  • Bugs on onboard Wi-Fi, entertainment systems or avionics
  • Insecure cookie settings for non-sensitive cookies
  • Previously submitted bugs
  • Self-cross-site scripting
  • Vulnerabilities that apply only to you or your own account
  • Web server banner disclosure issues

禁止事項:

次のいずれかを行うと、バグ発見報奨プログラムの参加資格を永久に失い、犯罪となる可能性や法的な取り調べを受ける可能性があります。 弊社ウェブサイト、アプリ、または他のユナイテッドのお客様向けポータルの利用体験に悪影響を与える行為は許可しません。

  • ブルートフォース攻撃
  • 実稼働システムでのコードインジェクション
  • サービス中断攻撃またはサービス拒否攻撃
  • 自分のアカウントではないマイレージプラスアカウントの侵害やテスト
  • 機内エンターテイメント、機内Wi-Fiなど、航空機または航空機システムに対するテスト
  • ユナイテッドの従業員、スターアライアンスメンバーの航空会社の従業員、その他のパートナー航空会社の従業員、あるいはお客様に対する脅迫、強要、ゆすりといった行為
  • ユナイテッドの従業員、スターアライアンスメンバーの航空会社の従業員、その他のパートナー航空会社の従業員、あるいはお客様に対する身体的攻撃
  • ユナイテッドのサーバーの脆弱性スキャンまたは自動スキャン(Acunetix、Core Impact、Nessusなどのツールを使用したスキャンを含む)

Bounties

If you have discovered a security bug that meets the requirements, and you're the first eligible researcher to report it, we will gladly reward you for your efforts. Below is our bounty payout structure, which is based on the severity and impact of bugs.

バグ発見報奨マイルの進呈内容
重大度 進呈される最大特典マイル
ハイ
  • コードのリモート実行
1,000,000
中程度
  • 認証回避
  • ブルートフォース攻撃
  • 個人情報(PII)開示の可能性
  • タイミング攻撃
250,000
ロー
  • クロスサイトスクリプト
  • クロスサイトリクエストフォージェリ
  • ユナイテッドに影響を与えるサードパーティのセキュリティバグ
50,000

バグ発見報奨マイルの進呈内容

    • コードのリモート実行
  • 進呈される最大特典マイル

    1,000,000

    • 認証回避
    • ブルートフォース攻撃
    • 個人情報(PII)開示の可能性
    • タイミング攻撃
  • 進呈される最大特典マイル

    250,000

    • クロスサイトスクリプト
    • クロスサイトリクエストフォージェリ
    • ユナイテッドに影響を与えるサードパーティのセキュリティバグ
  • 進呈される最大特典マイル

    50,000

送信内容

プログラムの対象となるセキュリティ上のバグが発見された場合、ユナイテッドはお客様と一緒に問題解決にあたります。

  • 件名に「バグ発見報奨に関する報告」と記載していただき、bugbounty@united.com までEメールをお送りください。
  • Eメールの本文には、バグの内容、バグの再現手順、およびバグの検出に使用した関連アプリケーション、プログラム、ツール、テストを実施した日付と時刻を記載してください。
  • お客様の正式氏名、マイレージプラス会員番号、電話番号、テスト実施時のIPアドレスを含めてください。
  • わかりやすいスクリーンショットを含む報告の草稿を添付していただけますと大変助かります。

バグ発見報奨プログラムに関するご質問がある場合は、お気軽に bugbounty@united.com までEメールをお送りください。 このプログラムでは多数の報告をご提出いただいているため、すぐにお客様のメールにお答えできないこともありますが、できる限り早急にお返事いたします。 ご連絡をお待ちしております。

    • ユナイテッドのご利用規約では、本プログラムの参加について規定しています。お客様はこの規約を読み、理解していただく必要があります。 本プログラムは、ユナイテッド航空および関係会社の裁量で実施します。ユナイテッドには、本プログラム、プログラムの規則、手順、報奨、参加条件(以下、「プログラムの規則」)の一部または全部を通知の有無を問わずいつでも終了または変更する権利があります。 本プログラムの規約は、united.comのご利用規約および法的通知ユナイテッドプライバシーポリシー および マイレージプラスプログラムの規約 (本プログラムの規約と合わせて、以下「ユナイテッドのご利用規約」という)を補足します。
    • バグ発見報奨プログラムに参加することで、お客様はユナイテッドのご利用規約への遵守に同意したことになります。
    • 本プログラムはゲームやコンテストではなく、実験的で自由裁量の報奨プログラムです。 プログラムは、2015年5月11日以降に報告される、対象となる「バグ」に対するものです。 ユナイテッドはいつでもプログラムをキャンセルできます。また、特典マイルの進呈の有無は、ユナイテッドが独自の裁量で決定します。
    • ユナイテッドの「バグ発見報奨」プログラムは、バグ報告時に14才以上であるユナイテッドマイレージプラス会員の方のみを対象としています。 プログラムは法律で禁じられている地域では無効であり、すべての法律の適用を受けます。 ユナイテッド航空株式会社またはその親会社、子会社、関係会社、代理店、委託業者の現在または過去の従業員、幹部、役員(また、その配偶者、両親、兄弟、子供などの近親者)、または同一世帯の居住者(親戚であるかどうかは問わない)、およびバグ発見報奨プログラムの管理に関与している方は対象外となります。
    • バグは、調査実施者の戸籍上の氏名、マイレージプラス番号、電話番号、バグの詳細を記載し、裏付けとなる証拠を添付して、bugbounty@united.com まで報告してください。
    • バグは、新たに発見されたものである必要があります。 特典マイルは、特定のバグを最初に報告された、対象の調査実施者のみに進呈されます。
    • お客様自身のテストアカウント以外のPIIを開示する場合は、できる限り速やかに影響が及ぶ活動を停止し、複製手順を文書化してください。
    • 脆弱性が見つかったコードの作成者本人が、バグ発見報奨プログラムでそのバグを報告することはできません。
    • お客様が見つけたバグまたはバグの可能性を公開したり、サードパーティに開示したりすることは禁じられています。 公開や開示を行った場合、特典マイルは進呈されません。
    • ユナイテッドのお客様または会員の個人情報に、意図的または故意にアクセスしたり、取得したりすることは禁じられています。 ユナイテッドのお客様または会員の個人情報に、意図的または故意にアクセスしたことが判明した場合、本プログラムへの参加資格は直ちに失効します。 ユナイテッドのお客様または会員の個人情報に間違ってアクセスしたり、取得したりした場合は、直ちにすべての活動を中止してください。
    • 特典マイルは、対象のバグそれぞれの報告に対して1回ご獲得いただけます。 適用条件のもと、特典マイルは何回でもご獲得いただけます。
    • 進呈されるマイルは、居住権および国籍のある国の課税対象となり、年間1マイルあたり2%の税金が適用されますのでご注意ください。 税金はすべてお客様のご負担となります。 慈善団体へのマイルの寄付をご希望の場合はお知らせください。
    • ユナイテッドは、問題の修正後に対象となるバグに対するマイルを進呈いたします。 ユナイテッドは、対象となるバグの確認後から90日以内に問題修正を行うことを目指しています。
    • お客様の本プログラムの参加も、ユナイテッドのご利用規約のいかなる内容も、お客様とユナイテッドまたはユナイテッドの関係会社との共同事業体、パートナーシップ、代理店、または雇用関係を創出または暗示するものとは解釈されません。
    • 本プログラムを通じて、お客様が受領または収集するユナイテッド、ユナイテッドの関係会社または会員に関する情報は、口頭、視覚的、書面、または電子形式といった形式を問わず、占有および機密(以下、「機密情報」)であるとみなされます。 本プログラムでは、情報または資料あるいはその両方が一般に公開されているのでない場合、合理的に「機密」または「占有」であると判断される性質の情報や資料ではない限り、「機密情報」みなされるものとします。
    • 機密情報はその機密を維持する必要があり、本プログラムに関連しない場合に使用することはできません。 ユナイテッドの事前の書面による同意なくかかる機密情報を使用、開示、または配布することはできません。
    • お客様の本プログラムへの参加、ユナイテッドのご利用規約へのお客様による違反、または本プログラムの不正使用により、またはこれらに基づいて第三者が何らかの申し立てを起こしたり、請求を行った場合、お客様は、ユナイテッドとユナイテッドの関係会社、およびその幹部、役員、代理人、従業員、ベンダーに対して防御と補償を行い、損害も与えないことに同意します。
    • このプログラムで進呈される特典マイルは、プレミア資格対象マイルではありません。
    • キャンペーンの内容は、予告なく変更されたり、 その他の制限が適用される場合があります。
    • 獲得されたマイルおよび発行済みの特典は変更される場合があり、ここに明示されているプレミアプログラムを含む(ただし、これに限定されない)、ユナイテッド・マイレージプラスプログラムの規約が適用されます。 ユナイテッドは、使用条件、プログラム規約、特典、キャンペーン等、マイレージプラスプログラムに関わるすべてを通告の有無にかかわらず、いつでも変更または終了する権利を保有します。 ユナイテッドとその子会社、提携企業、および代理店は、他の参加企業およびパートナーが提供する商品やサービスについて何ら責任を負わないものとします。 特典旅行にかかる税金や手数料は、お客様のご負担となります。 フライト以外のご利用で獲得したボーナス特典マイル、特典マイル、その他のマイルは、特別にご案内している場合を除き、プレミア会員資格の取得対象になりません。 累積マイル、プレミア資格、またはその他のいかなるステイタスも、マイレージプラスプログラムに関する既得権を会員に付与するものではありません。 累積マイルやプレミアプログラムの取得条件など、マイレージプラスプログラムやプレミアプログラムに関連する算定、および算定の変更(すべての見積りを含む)は、ユナイテッド航空およびマイレージプラスの裁量によって行われ、それらが最終のものとみなされます。 ここに記載されているマイレージプラスプログラムに関する情報は、完全または包括的な記述であることを意図するものではなく、会員が重要と考える情報を網羅していない可能性があります。マイレージプラスプログラムに関するすべての情報については、 united.com のウェブサイトに記載されている全情報、およびマイレージプラスプログラムの規約をご参照ください。 UnitedとMileagePlusは、米国で商標登録されています。 マイレージプラスプログラムについての詳細は、united.com/MileagePlusをご覧ください。