United Airlines vulnerability disclosure program

Na United, levamos sua proteção, segurança e privacidade muito a sério. Seguimos práticas recomendadas e temos confiança na segurança dos nossos sistemas. Estamos comprometidos em proteger a privacidade de nossos clientes e os dados pessoais que recebemos deles, por isso, oferecemos um programa de comunicação de vulnerabilidades, o primeiro do gênero no setor aéreo. Acreditamos que este programa reforçará nossa segurança e nos permitirá continuar oferecendo um excelente serviço. Se você acha que você descobriu uma possível vulnerabilidade que afeta nossos websites, aplicativos e/ou portais on-line, entre em contato conosco. Se o seu envio atender aos requisitos, teremos grande prazer em recompensá-lo por seu tempo e esforço.

Antes de relatar uma vulnerabilidade de segurança, consulte os “Termos da United”. Ao participar do programa de comunicação de vulnerabilidades, você concorda em cumprir esses termos e as exigências e orientações incluídas aqui.

O que é o programa de comunicação de vulnerabilidades?

Um programa de comunicação de vulnerabilidades permite que pesquisadores independentes descubram e relatem problemas de segurança que afetam a confidencialidade, integridade e/ou a disponibilidade de informações de clientes ou empresas e os recompensa por serem os primeiros a descobrir uma vulnerabilidade.

Requisitos de qualificação

Para garantir que os relatórios e pagamentos sejam justos e pertinentes, o pesquisador e a vulnerabilidade devem ser qualificados de acordo com os termos do programa de comunicação da United, incluindo, entre outros, os seguintes requisitos:

  • Todas as vulnerabilidades devem ser novas descobertas. As milhas-prêmio serão oferecidas apenas para o primeiro pesquisador que relatar uma vulnerabilidade específica.
  • O pesquisador deve ser um associado MileagePlus® de pelo menos 18 anos de idade e que esteja em dia com suas obrigações. Se você ainda não é um associado, inscreva-se agora mesmo no programa MileagePlus.
  • O pesquisador não pode residir em um país incluído atualmente na lista de sanções dos Estados Unidos.
  • O pesquisador que relatar a vulnerabilidade não pode ser funcionário ou ex-funcionário da United Airlines, de qualquer uma das companhias aéreas associadas da Star Alliance™ nem de qualquer outra companhia aérea parceira, e também não pode ser um prestador de serviços à United Airlines, um parente nem residir no domicílio de um funcionário da United Airlines ou de qualquer outra companhia parceira.
  • O pesquisador que relatar uma vulnerabilidade não pode ser o autor ou ter qualquer associação com o código de vulnerabilidade.

Informações-alvo

A United pode determinar, de tempos em tempos, o que constitui uma vulnerabilidade qualificada. Abaixo há um resumo de todos os alvos para os quais a United analisará relatórios de vulnerabilidade:

  • Website comercial da United Airlines (united.com)
  • Aplicativos da United para iOS e Android
  • Aplicativos United MileagePlus X para iOS e Android

Abaixo estão listados os alvos dentro e fora do escopo do programa de comunicação de vulnerabilidades.

No escopo

  • *.united.com – Teste de website
  • Aplicativo móvel da United para iOS – Teste de aplicativo móvel
  • Aplicativo móvel da United para Android – Teste de aplicativo móvel
  • Aplicativo MileagePlus X para iOS – Teste de aplicativo móvel
  • Aplicativo MileagePlus X para Android – Teste de aplicativo móvel

Fora do escopo

A United usa muitos sites/serviços de terceiros que são considerados fora do escopo deste programa. Além disso, a lista do escopo está sujeita a alterações. Os alvos a seguir são considerados fora do escopo:

  • Wi-Fi, sistemas de entretenimento ou aviônicos de bordo
  • E-mail corporativo
  • Aplicativos/serviços de terceiros
  • Ambientes que não são de produção
  • hotels.united.com
  • vacations.united.com
  • united.jobs
  • newsroom.united.com
  • ir.united.com
  • hub.united.com
  • jobs.united.com
  • opinions.united.com
  • globallinks.united.com
  • dutyfree.united.com
  • bigmetalbird.united.com
  • globalservices.united.com
  • uatp.united.com
  • thanksamillion.united.com
  • unitedmileageplus.com
  • secure.unitedmileageplus.com
  • newspaper-miles.com
  • *.ual.com
  • *.mileageplus.com
  • cruises.united.com
  • ualmiles.com
  • unitedshop.summitmg.com
  • united-veterans.jobs
  • clubconferencerooms.united.com/unit
  • theexplorercard.com
  • mpclubcard.com
  • myexplorercard.com
  • unitedexplorecard.com
  • unitedexplorer.com
  • unitedexplorercard.com
  • mileageplusawards.com
  • mpdining.rewardsnetwork.com
  • m.mpdining.rewardsnetwork.com
  • news.united.com/responsys
  • survey.continental.com/vovici.net
  • booking.unitedcargo.com
  • chargerback.com

Regras de participação

  • Fornecer detalhes sobre a descoberta da vulnerabilidade, incluindo informações necessárias para reproduzir e validar a vulnerabilidade, usando o formulário de relatório.
  • Todas as vulnerabilidades devem representar uma ameaça de segurança para serem qualificadas para um prêmio. United tem a responsabilidade final por determinar a gravidade de um problema.
  • As vulnerabilidades ou possíveis vulnerabilidades que você descobrir não podem, em momento algum, ser divulgadas publicamente ou a terceiros. A divulgação impedirá que você receba milhas-prêmio.
  • Não tente realizar qualquer pós-exploração, incluindo modificação ou destruição de dados, e interrupção ou degradação de serviços da United.
  • Não tente realizar ataques de força bruta, ataques de negação de serviço, comprometimento ou teste de contas da United que não pertençam a você.
  • Não tente realizar testes em aeronaves ou sistemas de aeronaves, como o entretenimento ou Wi-Fi de bordo.
  • Não tente atingir funcionários ou clientes da United usando métodos, incluindo ataques de engenharia social, ataques de phishing ou ataques físicos.
  • Não realize ataques físicos contra instalações aeroportuárias da United.
  • Não use scanners/ferramentas automatizados.

Vulnerabilidades qualificadas para relatório:

  • Execução remota de código
  • Injeção de SQL
  • XXE
  • XSS
  • Falsificação de solicitação no lado do servidor
  • Directory Traversal – Inclusão de arquivo local
  • Desvio de autenticação/autorização (controle de acesso corrompido)
  • Escalonamento de privilégios
  • Referência insegura direta a objeto
  • Erro de configuração
  • Fraude de cache da web
  • Erro de configuração de CORS
  • Injeção de CRLF
  • Falsificação de solicitação entre sites
  • Open redirect
  • Divulgação de informações
  • Request smuggling
  • Conteúdo misto

Vulnerabilidades não qualificadas para relatório:

  • Melhores práticas de segurança, isto é, cabeçalhos de segurança etc.
  • Engenharia social, phishing
  • Ataques físicos
  • Ausência de cookie flags
  • CSRF de impacto mínimo, isto é CSRF de login, CSRF de logout etc.
  • Spoofing de conteúdo
  • Stack traces, path disclosures, listagens de diretórios
  • Melhores práticas de SSL/TLS
  • Banner grabbing
  • Injeção de CSV
  • Reflected file download (RFD)
  • Relatórios de navegadores obsoletos
  • DOS/DDOS
  • Host header injection sem impacto demonstrável
  • Scanner Outputs
  • Vulnerabilidades em produtos de terceiros
  • Enumeração de usuários
  • Complexidade de senha
  • Método HTTP Trace
  • DMARC
  • Clickjacking
  • Registro de SPF
  • Antiautomação insuficiente
  • Ataques de limitação de taxa
  • Self-XSS

Gravidade das vulnerabilidades relatadas

O prêmio por comunicar uma vulnerabilidade qualificada pode variar de acordo com a gravidade da vulnerabilidade. A equipe de Segurança da United determinará a gravidade da vulnerabilidade depois de analisar o relatório utilizando uma combinação do sistema de pontuação de vulnerabilidades comuns (Common Vulnerability Scoring System, CVSS) e da metodologia OWASP de classificação de riscos. Os pesquisadores serão pagos após a validação de seu relatório.  Vários relatórios podem ser considerados uma única vulnerabilidade, a critério da United. 

Pagamento máximo em milhas-prêmio, de acordo com a gravidade da vulnerabilidade

Pagamento máximo em milhas-prêmio, de acordo com a gravidade da vulnerabilidade
Severidade Pagamento máximo em milhas-prêmio
Crítico 1.000.000 de milhas
Máxima 500.000 milhas
Médio 250.000 milhas
Baixo 50,000 milhas
Informações 0 milhas

Pagamento máximo em milhas-prêmio, de acordo com a gravidade da vulnerabilidade

Pagamento máximo em milhas-prêmio

1.000.000 de milhas

Pagamento máximo em milhas-prêmio

500.000 milhas

Pagamento máximo em milhas-prêmio

250.000 milhas

Pagamento máximo em milhas-prêmio

50,000 milhas

Pagamento máximo em milhas-prêmio

0 milhas

Envios

Envie um relatório ao programa de comunicação de vulnerabilidades da United confirmando que você compreende e aceita a política e os termos e condições e utilizando o formulário de relatório incluindo aqui.

  • Regras do Programa de comunicação de vulnerabilidades da United Airlines

    Importante: As regras a seguir, a Política de privacidade da United e as Regras do programa MileagePlus constituem as regras e outras condições (coletivamente, “Regras”) do Programa de comunicação de vulnerabilidades da United Airlines (o “Programa”). Ao participar do Programa, você indica que aceita estas Regras e concorda em cumpri-las. É sua responsabilidade ler e entender todas as Regras. Estas Regras podem ser suplementadas pelo site do Programa, mas não podem ser substituídas ou alteradas, exceto por escrito, pela United Airlines ou qualquer uma de suas afiliadas (coletivamente, “United”). As Regras mais atualizadas podem ser encontradas no united.com, e esta é a autoridade final nas Regras. As Regras encontradas no united.com devem ser consideradas como substitutas de qualquer outra versão anterior ou conflitante destas.

    Condições gerais

    1. O Programa é oferecido a critério da United e a United tem o direito de encerrar o Programa, total ou parcialmente, ou de alterar as Regras, benefícios ou condições de participação, critérios de qualificação ou níveis de prêmios, total ou parcialmente, a qualquer momento, com ou sem aviso.
    2. A United determinará o que constitui uma vulnerabilidade (“Vulnerabilidade” ou “Vulnerabilidades”) e estabelecerá os critérios e o processo de relatório de Vulnerabilidades, bem como os benefícios associados a ele, e pode publicar os critérios e o processo de tempos em tempos no site do Programa.
    3. As Regras controlam a sua participação no Programa, e acordos regulados por leis ou com base na equidade não devem estar implícitos ou incorporados, os quais são expressamente renunciados. A United tem o direito exclusivo de interpretar e aplicar as Regras. EM NENHUMA HIPÓTESE A UNITED SERÁ RESPONSÁVEL PERANTE UM ASSOCIADO, OU A ALGUÉM AGINDO EM NOME DO ASSOCIADO, POR QUAISQUER DANOS DIRETOS, INDIRETOS OU CONSEQUENTES, INCLUINDO PERDA DE RECEITA OU DE LUCROS, QUE OCORRAM EM CONSEQUÊNCIA DE ATOS OU OMISSÕES DA UNITED EM RELAÇÃO AO PROGRAMA, OU CUSTOS E HONORÁRIOS DE ADVOGADOS. Qualquer abuso do Programa ou não cumprimento das Regras, qualquer violação de leis, regras ou regulamentos, qualquer conduta prejudicial aos interesses da United, qualquer atividade fraudulenta ou tentativa de atividade fraudulenta, qualquer disseminação de informações com o objetivo de defraudar a United ou a distorção de qualquer informação fornecida à United ou suas afiliadas por qualquer Associado, qualquer pessoa que esteja agindo em nome do Associado ou qualquer terceiro (coletivamente, “Conduta Proibida”) pode resultar no exercício pela United de um ou mais dos recursos a seguir (“Recursos da United”), com ou sem aviso ao Associado: (a) o cancelamento, por parte da United, da associação do Associado ao MileagePlus (incluindo, sem limitações, qualquer status Premier ou Million Miler, se aplicável), (b) a remoção ou cancelamento, por parte da United, de toda ou qualquer milhagem acumulada, bem como Créditos de Qualificação Premier, milhas vitalícias ou resgates de prêmios, certificados ou benefícios pendentes ou em aberto (incluindo, sem limitações, benefícios associados a um status Premier [e/ou Million Miler], se aplicável), (c) o confisco de qualquer passagem-prêmio, recusa de embarque a qualquer portador de passagem-prêmio ou, a critério da United, realização da viagem somente mediante o pagamento da tarifa aplicável (além das taxas e impostos aplicáveis) ou (d) a perda de outros benefícios do Programa e do MileagePlus. Além dos Recursos da United citados acima, a United pode, por meio de solicitação por escrito, exigir que o Associado reembolse o valor, conforme determinado pela United, de prêmios resgatados, certificados ou benefícios adquiridos como resultado de Conduta Proibida e, no caso de um Associado não reembolsar, pode iniciar ação judicial para recuperar o valor de prêmios resgatados, certificados ou benefícios adquiridos pelo Associado através de Conduta Proibida. Um “Associado” é um associado do United MileagePlus.
    4. Caso a United suspeite de Conduta Proibida, a United se reserva o direito, com ou sem aviso prévio ao Associado: (a) de colocar em espera ou suspender todas as atividades (incluindo, entre outros, qualquer atividade de resgate de minhas e processamento de solicitações de resgate de milhas por quaisquer prêmios, certificados ou benefícios, incluindo, entre outros, quaisquer benefícios de status Premier (e/ou Million Miler) em qualquer conta MileagePlus, e (b) auditar ou investigar qualquer conta MileagePlus a qualquer momento. Durante uma auditoria ou investigação, as informações da conta do Associado podem ser compartilhadas com terceiros com os quais a United possui contratos para auxiliar no desempenho de tais auditorias ou investigações. Enquanto a conta está suspensa, o Associado pode continuar a acumular milhas e Créditos de Qualificação Premier na conta, mas nenhum resgate de milhas ou outras transações serão permitidos e qualquer resgate de prêmio, certificados e benefícios em aberto (incluindo, entre outros, quaisquer benefícios de status Premier [e/ou Million Miler], se aplicável) estarão sujeitos a cancelamento ou suspensão. Resgates de prêmios, certificados e benefícios cancelados devem ser entregues à United mediante a solicitação da United. Após a conclusão da auditoria ou investigação, se a Conduta Proibida foi detectada pela United, a United pode exercer um ou mais dos Recursos da United ou quaisquer outros recursos disponíveis conforme a lei ou em equidade.
    5. O Programa não é um jogo, uma competição ou um programa de fidelidade.
    6. Todos os cálculos feitos em conexão com o Programa, incluindo, entre outros, da elegibilidade e gravidade de uma Vulnerabilidade e das milhas-prêmio associadas, serão feitos pela United, a seu próprio critério, e serão considerados definitivos.
    7. O Programa é aberto apenas a Associados que tiverem dezoito (18) anos de idade ou mais no momento do relatório e que não sejam residentes de nenhum país presente na atual lista de países sancionados pelos Estados Unidos. Funcionários ou ex-funcionários, agentes e diretores (e seus respectivos familiares próximos, como cônjuges, pais, irmãos, filhos) ou residentes do mesmo domicílio (mesmo que não sejam parentes) da United Airlines, Inc. e suas controladoras, subsidiárias, empresas afiliadas e qualquer uma das companhias aéreas associadas da Star Alliance™ ou outra companhia aérea parceira, agentes ou contratantes, ou ainda qualquer pessoa que participe da administração do Programa não estão qualificados a participar.
    8. Nem a renúncia ou consentimento referentes a um desvio das Regras concedidos pela United, nem qualquer curso de negociação deve ser considerado uma renúncia referente a qualquer violação subsequente das Regras, e a United pode recorrer aos Recursos da United em relação a uma violação das Regras, independentemente de qualquer renúncia ou consentimento anteriores.
    9. Pode ser necessário que os Associados forneçam uma senha e/ou outras medidas de segurança ao realizar determinadas transações por escrito, telefone ou pela internet por segurança ou outros fins. Os Associados são responsáveis por manter a confidencialidade de sua senha e outras credenciais de segurança, como aplicável.
    10. Nem a participação no Programa nem qualquer informação contida nestas Regras deve ser interpretada como a implicação de uma relação de empreendimento conjunto, parceria, agência ou emprego entre o Associado e a United ou suas afiliadas.
    11. As informações que um Associado receber ou coletar sobre a United ou suas afiliadas ou Associados por meio do Programa, sejam de forma oral, visual, escrita ou em formato eletrônico podem ser consideradas de propriedade particular e confidenciais (“Informações confidenciais”). Para efeitos do Programa, as informações e/ou materiais serão considerados "Informações confidenciais" caso essas informações e/ou materiais não estejam disponíveis ao público ou, dependendo da natureza das informações ou materiais, uma pessoa com bom senso consideraria tal informação e/ou material "confidencial" ou "de propriedade".
    12. As Informações confidenciais devem ser mantidas em confidencialidade e usadas apenas em relação ao Programa. Informações Confidenciais não podem ser divulgadas ou distribuídas sem o consentimento prévio da United por escrito.
    13. Um Associado concorda em defender, indenizar ou isentar a United e suas afiliadas e seus agentes, diretores, funcionários e fornecedores de qualquer ação ou pedido (incluindo honorários de advogados) feitos ou incorridos por terceiros que derivem da participação no Programa, da violação das Regras ou do uso impróprio do Programa.
    14. O Programa e a emissão e uso de prêmios podem ser proibidos ou restritos por lei em alguns países que não os E.U.A. Nada nestas Regras deve servir de base para anular ou burlar leis estrangeiras (não dos E.U.A.). A United pode exercer um ou mais dos Recursos da United, com ou sem aviso prévio ao Associado, no caso de um Programa, ou a participação de um Associado de qualquer forma no Programa, violar leis estrangeiras.

       

      Vulnerabilidades

    15. As Vulnerabilidades ou possíveis Vulnerabilidades descobertas não podem, em momento algum, ser divulgadas publicamente ou a terceiros. A divulgação impedirá que o Associado receba milhas.
    16. As Vulnerabilidades devem ser novas descobertas, e serão concedidas milhas-prêmio somente ao primeiro Associado que relatar uma Vulnerabilidade específica, desde que cumpra as especificações ocasionalmente estabelecidas pela United no site do Programa.
    17. As Vulnerabilidades devem ser relatadas por meio do portal de relatório (ou por outro método ocasionalmente designado pela United) e incluir o nome do Associado, seu número do MileagePlus e número de telefone, bem como uma descrição da Vulnerabilidade e documentos de comprovação.
    18. A determinação da validade e gravidade de uma Vulnerabilidade fica inteiramente a critério da United.
    19. Um Associado não deve, consciente ou intencionalmente, acessar nem adquirir informações pessoais de qualquer cliente da United, Associado ou outra pessoa. Caso um Associado inadvertidamente acesse ou adquira informações pessoais de qualquer cliente da United, Associado ou outra pessoa, o Associado deverá cessar imediatamente a atividade, documentar as medidas necessárias para replicá-la e notificar a United assim que for possível.
    20. O Associado que relatar a Vulnerabilidade não pode ser o autor do código vulnerável.
    21. Um Associado não deve, em momento algum:
      • tentar realizar pós-exploração, incluindo modificação ou destruição de dados, e interrupção ou degradação de serviços da United;
      • tentar realizar ataques de força bruta, ataques de negação de serviço, comprometimento ou teste de contas da United que não pertençam ao Associado;
      • tentar realizar testes em aeronaves ou sistemas de aeronaves, como o entretenimento ou Wi-Fi de bordo;
      • tentar atingir funcionários ou clientes da United, incluindo ataques de engenharia social, ataques de phishing ou ataques físicos;
      • realizar ataques físicos contra instalações aeroportuárias da United; ou
      • utilizar scanners/ferramentas automatizados.

      Milhas-prêmio

    22. As milhas-prêmio podem ser ganhas apenas uma vez para cada Vulnerabilidade qualificada relatada. Todas as Vulnerabilidades devem representar uma ameaça de segurança para serem qualificadas para o ganho de milhas-prêmio.
    23. As milhas-prêmio atualmente concedidas por Vulnerabilidade por gravidade podem ser publicadas ocasionalmente no website do Programa. Em alguns casos, dependendo das circunstâncias, vários relatos de um único Associado podem ser considerados uma única Vulnerabilidade, ficando essa determinação a critério exclusivo da United.
    24. Uma Vulnerabilidade pode estar sujeita a um número máximo de milhas-prêmio, a critério exclusivo da United.
    25. A United concederá milhas-prêmio para cada Vulnerabilidade qualificada uma vez que a Vulnerabilidade for validada e confirmada.
    26. Nenhuma Vulnerabilidade justificará o recebimento de mais de um milhão de milhas-prêmio, exceto quando explicitamente autorizado pela United.
    27. As milhas-prêmio oferecidas de acordo com este Programa não são milhas de qualificação Premier®.
    28. A United se reserva o direito de ajustar o saldo da conta de um Associado se houver um depósito incorreto de milhas.

       

      Política de privacidade

    29. Ao participar do Programa, os Associados autorizam a United a coletar, manter, usar, processar e compartilhar seus dados, incluindo, entre outros, nomes, e-mails, endereços, contas e outras informações, de acordo com a Política de Privacidade da United. Para saber mais sobre como a United coleta, mantém, usa, processa e compartilha seus dados, consulte a Política de Privacidade da United, disponível em https://www.united.com/ual/en/us/fly/privacy.html. A Política de Privacidade da United é simplesmente uma declaração de protocolo administrativo. Ela não é um contrato e não cria vínculo contratual nem oferece direitos legais. A Política de Privacidade da United não constitui parte destas Regras, nem tem a intenção de ser parte destas Regras.