Programa bug bounty da United Airlines

Na United, levamos sua proteção, segurança e privacidade muito a sério. Seguimos práticas recomendadas e temos confiança na segurança dos nossos sistemas. Estamos comprometidos em proteger a privacidade de nossos clientes e os dados pessoais que recebemos deles, por isso, oferecemos um programa de recompensa para bugs, o primeiro do gênero no setor aéreo. Acreditamos que este programa reforçará nossa segurança e nos permitirá continuar oferecendo um excelente serviço. Se você acredita ter descoberto um possível bug que afeta nossos websites, aplicativos e/ou portais on-line, entre em contato conosco. Se o seu envio atender aos requisitos, teremos grande prazer em recompensá-lo por seu tempo e esforço.

Antes de relatar um bug de segurança, revise os “Termos da United”. Ao participar do programa de recompensa para bug, você concorda com esses termos.

O que é um programa de recompensa para bug?

Um programa de recompensa para bug permite que pesquisadores independentes descubram e relatem problemas de segurança que afetam a confidencialidade, integridade e/ou a disponibilidade de informações de clientes ou empresas e os recompensa por serem os primeiros a descobrir um bug.

Requisitos de qualificação

Para garantir que os envios e os pagamentos sejam justos e significativos, os seguintes diretrizes e requisitos de qualificação devem ser aplicados a todos os pesquisadores que enviarem relatórios de bugs:

  • Todos os bugs devem ser novas descobertas. As milhas-prêmio serão oferecidas apenas ao primeiro pesquisador a enviar um bug de segurança específico.
  • O pesquisador deve ser um associado MileagePlus em dia com suas obrigações. Se você ainda não é um associado, inscreva-se agora mesmo no programa MileagePlus.
  • O pesquisador não pode residir em um país incluído atualmente na lista de sanções dos Estados Unidos.
  • O pesquisador que enviar um bug não pode ser funcionário ou ex-funcionário da United Airlines, de qualquer companhia aérea associada da Star Alliance™ nem de qualquer outra companhia aérea parceira, e também não pode ser parente nem residir no domicílio de um funcionário da United Airlines ou de qualquer outra companhia parceira.
  • O pesquisador que enviar um bug não pode ser o autor de um código de vulnerabilidade.

Os bugs qualificados para envio são:

  • Desvio de autenticação
  • Bugs em aplicativos operados pela United e dedicados a clientes, como:
    • united.com
    • mystatus.united.com
    • wechat.united.com
  • Bugs no aplicativo da United
  • Bugs em ativos de terceiros carregados por aplicativos operados pela United e dedicados a clientes
  • Falsificação de solicitação entre sites
  • Cross-site scripting (XSS)
  • Potencial de divulgação de informações
  • Execução remota de código
  • Ataques oportunos que provem a existência de um repositório, usuário ou reserva privados
  • A capacidade de enumerar reservas, números MileagePlus, PINs ou senhas (observação: não tente realizar ataques forçados em nossos sistemas. Informe o problema para que possamos analisar sua veracidade.)

Bugs não qualificados para envio:

  • Bugs que afetam apenas navegadores, plugins ou sistemas de operação legados ou incompatíveis
  • Bugs em sites internos destinados a funcionários e agentes da United (não para clientes finais)
  • Bugs em aplicativos que não são operados pela United, como:
    • cruises.united.com
    • hotels.united.com
    • hub.united.com
    • unitedmileageplus.com
    • vacations.united.com
    • packages.united.com
  • Bugs no Wi-Fi a bordo, sistemas de entretenimento ou aviônicos
  • Configurações inseguras para cookies não sensíveis
  • Bugs enviados anteriormente
  • Self-cross-site scripting
  • Vulnerabilidades que se aplicam apenas a você e à sua conta
  • Problemas de divulgação do banner do servidor web

Não tente:

A tentativa de envio de qualquer um dos bugs a seguir resultará na desqualificação permanente do programa de recompensa para bug e em possível investigação criminal e/ou legal. Não permitimos ações que possam impactar negativamente a experiência dos clientes da United em nossos sites, aplicativos ou portais on-line.

  • Ataques forçados
  • Injeção de código em sistemas ativos
  • Ataques de interrupção ou de negação de serviço
  • O comprometimento ou teste de contas MileagePlus que não lhe pertencem
  • Qualquer teste nas aeronaves ou em sistemas de aeronaves como o entretenimento ou Wi-Fi de bordo
  • Qualquer ameaça, tentativa de coerção ou extorsão de funcionários da United, de companhias aéreas associadas da Star Alliance, de outras companhias aéreas parceiras ou de clientes
  • Ataque físico contra funcionários da United, de companhias aéreas associadas da Star Alliance, de outras companhias aéreas parceiras ou contra clientes
  • Análise de vulnerabilidade ou automatizada nos servidores da United (incluindo o uso de ferramentas de análise como Acunetix, Core Impact ou Nessus)

Recompensas

Se você descobriu um bug de segurança que atende aos requisitos e é o primeiro pesquisador qualificado a relatá-lo, teremos prazer em recompensá-lo por seus esforços. Abaixo temos a estrutura de pagamento de nossas recompensas, que é baseada na severidade e na relevância dos bugs.

Estrutura de pagamento de recompensas do Bug Bounty
Severidade Exemplos Pagamento máximo em milhas-prêmio
Máxima
  • Execução remota de código
1.000.000
Médio
  • Desvio de autenticação
  • Ataques forçados
  • Potencial de divulgação de informações de identificação pessoal
  • Ataques oportunos
250.000
Baixo
  • Cross-site scripting
  • Falsificação de solicitação entre sites
  • Bugs de segurança de terceiros que afetam a United
50.000

Estrutura de pagamento de recompensas do Bug Bounty

  • Exemplos

    • Execução remota de código
  • Pagamento máximo em milhas-prêmio

    1.000.000

  • Exemplos

    • Desvio de autenticação
    • Ataques forçados
    • Potencial de divulgação de informações de identificação pessoal
    • Ataques oportunos
  • Pagamento máximo em milhas-prêmio

    250.000

  • Exemplos

    • Cross-site scripting
    • Falsificação de solicitação entre sites
    • Bugs de segurança de terceiros que afetam a United
  • Pagamento máximo em milhas-prêmio

    50.000

Envios

Se você acredita que descobriu um bug de segurança qualificado, queremos trabalhar com você para resolvê-lo.

  • Envie-nos um e-mail para bugbounty@united.com e inclua a frase "Bug Bounty Submission" na linha do assunto.
  • Dentro do corpo do e-mail, descreva a natureza do bug, junto com todos os passos necessários para replicá-lo, além de aplicativos, programas ou ferramentas pertinentes usados para descobrir o bug e a data e hora da descoberta.
  • Inclua seu nome completo, número MileagePlus, número de telefone e endereço IP no momento do teste junto com seu envio.
  • Um relatório prévio com imagens de captura de tela será de grande valia.

Entre em contato conosco pelo e-mail bugbounty@united.com em caso de dúvidas sobre o programa de recompensa para bugs. Recebemos muitos relatórios por meio deste programa, por isso, é possível que seu e-mail não seja respondido imediatamente, mas entraremos em contato assim que for possível. Esperamos receber seu contato em breve.

    • Os Termos da United regem sua participação no Programa e é sua responsabilidade consultá-los e compreendê-los integralmente. O Programa é oferecido a critério da United Airlines e de suas afiliadas, e a United tem o direito de encerrar ou modificar o Programa, suas regras, procedimentos, benefícios ou condições de participação, completamente ou em parte, a qualquer momento e com ou sem aviso prévio (“Regras do Programa”). As Regras do Programa complementam os termos e condições e os avisos legais do united.com, a Política de privacidade e as Regras do Programa MileagePlus (coletivamente em conjunto com as Regras do Programa, os "Termos da United").
    • Ao participar, você concorda com os Termos da United.
    • O Programa não é um jogo nem uma competição, mas um programa de recompensas experimental e discricionário. A oferta é válida para “Bugs” qualificados enviados a partir de 11 de maio de 2015. Podemos cancelar o Programa a qualquer momento, e a decisão de pagar ou não as milhas-prêmio fica inteiramente a critério da United.
    • A oferta “Recompensa para Bug” da United é aberta apenas a associados MileagePlus da United que tenham pelo menos 14 anos de idade no momento do envio. A oferta não é válida onde for proibida e está sujeita a todas as leis. Funcionários ou ex-funcionários, agentes e diretores (e seus respectivos familiares próximos, como cônjuges, pais, irmãos, filhos) ou residentes do mesmo domicílio (mesmo que não sejam parentes) da United Airlines, Inc. e suas controladoras, subsidiárias, afiliadas, agentes ou contratantes, ou ainda qualquer pessoa que participe da administração do programa Recompensa para Bug não estão qualificados a participar.
    • Os bugs devem ser enviados para bugbounty@united.com e devem incluir o nome completo, o número MileagePlus e o número de telefone do pesquisador, além de uma descrição completa do bug e arquivos de suporte.
    • Os bugs devem ser novas descobertas. As milhas-prêmio serão fornecidas apenas ao primeiro pesquisador a enviar um bug específico.
    • No caso de divulgação de informações de identificação pessoal que não seja de sua própria conta-teste, pedimos que encerre a atividade e documente os passos para que possamos replicá-la assim que for possível.
    • O pesquisador que enviar um bug não pode ser o autor de um código de vulnerabilidade.
    • Os bugs ou possíveis bugs que você descobrir não podem, em momento algum, ser divulgados publicamente ou a terceiros. A divulgação impedirá que você receba milhas-prêmio.
    • Você não deve, consciente ou intencionalmente, acessar nem adquirir informações pessoais de qualquer cliente ou associado da United. Caso fique determinado que você acessou de forma consciente ou intencional as informações pessoais de algum cliente ou associado da United, você perderá imediatamente o direito de participar deste Programa. Caso tenha acessado ou adquirido inadvertidamente informações pessoais de qualquer cliente ou associado da United, você deverá cessar imediatamente todas as atividades.
    • As milhas-prêmio podem ser ganhas apenas uma vez para cada bug qualificado enviado. Você pode ganhar milhas-prêmio de bônus por um número ilimitado de vezes, de acordo com estes termos e condições.
    • Observe que os pagamentos com milhas estão sujeitos aos impostos do seu país de residência e cidadania, a uma taxa de 2% por milha somada aos seus ganhos anuais. Você é responsável por todas as implicações fiscais. Caso prefira doar suas milhas para caridade, fale conosco.
    • A United fornecerá um pagamento para cada bug qualificado quando o problema for corrigido. Nosso prazo ideal para resolver cada problema enviado é 90 dias após a confirmação de cada bug qualificado.
    • Sua participação no Programa e qualquer informação contida nos Termos da United não devem ser interpretadas como sendo implicações de uma relação de empreendimento conjunto, parceria, agência ou emprego entre você e a United ou suas afiliadas.
    • As informações que você recebe ou coleta sobre a United ou suas afiliadas ou associados por meio do Programa, sejam de forma oral, visual, escrita ou em formato eletrônico podem ser consideradas de propriedade particular e confidenciais (“Informações confidenciais”). Para efeitos do Programa, as informações e/ou materiais serão considerados "Informações confidenciais" caso essas informações e/ou materiais não estejam disponíveis ao público ou, dependendo da natureza das informações ou materiais, uma pessoa com bom senso consideraria tal informação e/ou material "confidencial" ou "de propriedade".
    • As Informações confidenciais devem ser mantidas em confidencialidade e usadas apenas em relação ao Programa. Você não pode usar, divulgar ou distribuir qualquer Informação confidencial sem o consentimento prévio da United por escrito.
    • Você concorda em defender, indenizar ou isentar a United e suas afiliadas e seus agentes, diretores, funcionários e fornecedores de qualquer ação ou pedido (incluindo honorários de advogados) feitos ou incorridos por terceiros que derivem de sua participação no Programa, da violação dos Termos da United ou do uso impróprio do Programa.
    • As milhas-prêmio oferecidas de acordo com este Programa não são milhas de qualificação Premier®.
    • A oferta está sujeita a mudanças sem aviso prévio. Outras restrições podem ser aplicáveis.
    • As milhas acumuladas, os prêmios e os benefícios concedidos estão sujeitos a alterações e às regras do programa MileagePlus da United, incluindo, sem limitações, o programa Premier®, as quais estão expressamente incluídas aqui. A United pode alterar o Programa MileagePlus, incluindo, sem limitações, regras, regulamentos, viagens-prêmio e ofertas especiais, ou ainda encerrá-lo a qualquer momento e sem aviso prévio. A United, suas subsidiárias, suas afiliadas e seus agentes não são responsáveis pelos produtos ou serviços de outras companhias e parceiros participantes. As taxas e os impostos relacionados às viagens-prêmio são de responsabilidade do associado. As milhas-prêmio de bônus, milhas-prêmio e outras milhas recebidas por meio de atividades que não sejam voos não contam para qualificação ao status Premier, a menos que estabelecido o contrário. O acúmulo de milhas, de status Premier ou de qualquer outro status não garante aos associados qualquer direito adquirido com respeito ao Programa MileagePlus. Todos os cálculos feitos em relação ao programa MileagePlus e/ou programa Premier da United, incluindo, sem limitação, o acúmulo de milhas e o cumprimento das exigências de qualificação do programa Premier e/ou as revisões de cálculos (incluindo quaisquer estimativas), serão feitos pela United Airlines e o MileagePlus a seu próprio critério, e esses cálculos serão considerados finais. As informações neste comunicado relacionadas ao Programa MileagePlus não pretendem ser completas ou abrangentes, podendo não incluir todas as informações que um associado pode acreditar importantes, e estão qualificadas em sua totalidade por referência a todas as informações no website united.com e às regras do Programa MileagePlus. United e MileagePlus são marcas de serviço registradas. Para obter mais detalhes sobre o programa MileagePlus, acesse united.com/mileageplus