美国联合航空公司“抓出程序错误奖金”计划

在美联航,我们以严谨的态度保护您的安全和隐私。 我们实施业内最佳实践,并对我们的系统安全性充满信心。 我们致力于保护乘客的隐私,以及我们从乘客处收集到的个人数据的安全。因此,我们推出了“抓出程序错误奖金”计划,这是航空业中的首例。 我们相信此计划将进一步提高我们的安全性,并让我们继续提供出色服务。 如果您认为发现了影响我们网站、应用程序和/或在线门户的潜在漏洞,请告知我们。 如果您提交的信息符合我们的要求,我们将十分乐意对您付出的时间和精力提供奖励。

在报告安全漏洞之前,请阅览“美联航条款”。 参与”抓出程序错误奖金”计划,即表示您同意遵守这些条款。

什么是“抓出程序错误奖金”计划?

“抓出程序错误奖金”计划允许独立调查人员发现并报告影响乘客或公司信息机密性、真实性和/或可用性的安全问题,并对这些人士首先发现漏洞提供奖励。

资格要求

为了确保信息提交和奖金支付的公平性和相关性,下列资格条件和指南适用于提交漏洞报告的所有调查人员:

  • 所有提交的漏洞都必须是新发现的漏洞。 我们仅会向首位提交某一安全漏洞的调查人员提供奖励里程。
  • 调查人员必须为信誉良好的前程万里 (MileagePlus) 会员。 如果您不是会员,请即刻加入前程万里 (MileagePlus) 计划
  • 调查人员的当前居住地必须位于美国制裁国家之外。
  • 提交漏洞报告的调查人员不得为在职或已离职的美国联合航空公司 (United Airlines)、任何星空联盟 (Star Alliance™) 成员航空公司或任何其他合作伙伴航空公司的员工,亦不可为美国联合航空公司或任何合作伙伴航空公司员工的家人或家庭成员。
  • 提交漏洞报告的调查人员不得为该漏洞代码的编写人员。

符号提交条件的漏洞:

  • Authentication bypass
  • Bugs on United-operated, customer-facing applications such as:
    • united.com
    • mobile.united.com
    • mystatus.united.com
    • smartphone.continental.com
    • wechat.united.com
  • Bugs on the United app
  • Bugs in third-party assets loaded by United-operated, customer-facing applications
  • Cross-site request forgery
  • Cross-site scripting (XSS)
  • Potential for information disclosure
  • Remote code execution
  • Timing attacks that prove the existence of a private repository, user or reservation
  • The ability to enumerate reservations, MileagePlus numbers, PINs or passwords (Note: Please do not attempt brute-force attacks on our systems. Report the potential bug and we will verify its validity.)

不符号提交条件的漏洞:

  • Bugs that only affect legacy or unsupported browsers, plugins or operating systems
  • Bugs on internal sites for United employees or agents (not customer-facing)
  • Bugs on applications that are not operated by United, such as:
    • cruises.united.com
    • hotels.united.com
    • hub.united.com
    • unitedmileageplus.com
    • vacations.united.com
  • Bugs on onboard Wi-Fi, entertainment systems or avionics
  • Insecure cookie settings for non-sensitive cookies
  • Previously submitted bugs
  • Self-cross-site scripting
  • Vulnerabilities that apply only to you or your own account
  • Web server banner disclosure issues

请勿尝试:

如果尝试下列行为,将会导致永久丧失参与“抓出程序错误奖金”计划的资格,并且还有可能会面临刑事和/或法律调查。 我们不允许任何可能会对美联航其他客户在本公司网站、应用程序或在线门户的体验造成负面影响的行为。

  • 暴力破解攻击
  • 在真实系统中注入代码
  • 中断或拒绝服务攻击
  • 对并非属于您的前程万里帐户进行测试或对其造成不良影响
  • 对飞机或飞机系统(如机舱内娱乐系统或机舱内 Wi-Fi)进行任何测试
  • 对美联航员工、星空联盟 (Star Alliance) 成员航空公司员工、其他合作伙伴航空公司员工或乘客进行威胁或尝试进行威压或敲诈
  • 对美联航员工、星空联盟 (Star Alliance) 成员航空公司员工、其他合作伙伴航空公司员工或乘客进行人身攻击
  • 对美联航服务器进行漏洞扫描或自动扫描(包括使用 Acunetix、Core Impact 或 Nessus 等工具扫描)

Bounties

If you have discovered a security bug that meets the requirements, and you're the first eligible researcher to report it, we will gladly reward you for your efforts. Below is our bounty payout structure, which is based on the severity and impact of bugs.

"抓出程序错误奖金“计划支付架构
严重性 示例 支付的奖励里程上限
  • 远程代码执行
1,000,000
一般
  • 跳过验证
  • 暴力破解攻击
  • 潜在的个人可识别信息 (PII) 泄露
  • 定时攻击
250,000
  • 跨站脚本
  • 跨站请求伪造
  • 影响美联航的第三方安全漏洞
50,000

"抓出程序错误奖金“计划支付架构

  • 示例

    • 远程代码执行
  • 支付的奖励里程上限

    1,000,000

  • 示例

    • 跳过验证
    • 暴力破解攻击
    • 潜在的个人可识别信息 (PII) 泄露
    • 定时攻击
  • 支付的奖励里程上限

    250,000

  • 示例

    • 跨站脚本
    • 跨站请求伪造
    • 影响美联航的第三方安全漏洞
  • 支付的奖励里程上限

    50,000

提交

如果您认为发现了符合条件的漏洞,我们希望能够与您一起协力解决该问题。

  • 请发送电子邮件至 bugbounty@united.com 与我们取得联系,并在邮件标题中标明“抓出程序错误奖金计划提交 (Bug Bounty Submission)”。
  • 请在电子邮件正文中描述此漏洞的性质,以及任何复制该漏洞的必要步骤,并提供用来发现该漏洞的相关应用程序、程序或工具,以及测试日期和时间。
  • 提交内容包括您的依法登记姓名、前程万里 (MileagePlus) 编号、电话号码和测试时的 IP 地址。
  • 如果您能够在报告初稿中提供清晰可辨的截屏图片,我们将不胜感激。

如果您对“抓出程序错误奖金”计划有任何疑问,请随时发送电子邮件至 bugbounty@united.com 与我们取得联系。 我们通过此计划会收到众多提交报告,因此我们可能无法立刻回复您的电子邮件,但我们将会尽快回复。 期待收到您的反馈。

    • 参与计划时,您将受到美联航条款的制约,并且您有责任阅读及理解其全部内容。 此计划由美国联合航空公司 (United Airlines) 及其附属公司自行推出,美联航有权随时终止或更改全部或部分计划、计划规则、程序、优待或参与条件,且无须事先通知(“计划规则”)。 计划规则是对 united.com 条款和条件以及法律通知美联航隐私政策前程万里 (MileagePlus) 计划规则(与“计划规则”一起统称为“美联航条款”)的补充。
    • 参与此计划,即表明您同意遵守美联航条款。
    • 此计划并非游戏或竞赛,而是一项实验性和酌情自行实施的奖励计划。 此计划仅适用于 2015 年 5 月 11 日当天或之后提交的符合条件的“漏洞”。 我们可能会随时取消该计划,并且美联航可自行决定是否支付奖励里程。
    • 美联航“抓出程序错误奖金”计划仅适用于在提交时年满 14 周岁的前程万里 (MileagePlus) 会员。 本计划在法律禁止的情况下无效,并且需要遵守所有法律。 在职或已离职的美国联合航空公司 (United Airlines, Inc.) 或其母公司、子公司、附属公司、代理机构或承包商的员工、高级职员和总监(以及这些人员的直系家庭成员:配偶、父母、兄弟姐妹或孩子)或家庭成员(无论是否存在亲属关系),以及参与“报告漏洞奖金“计划管理的任何人员,均不符合参与此计划的资格。
    • 漏洞必须提交至 bugbounty@united.com,并且在邮件中包含调查人员依法登记的姓名、前程万里 (MileagePlus) 编号、电话号码,以及对漏洞的详细描述和支持性证据。
    • 漏洞必须是新发现的漏洞。 我们仅会向首位提交某一漏洞的合格调查人员提供奖励里程。
    • 如果导致泄露并非您自己的测试帐户的个人可识别信息 (PII),请即刻停止此影响其他人的活动,并尽快记录复制此问题的步骤。
    • 提交漏洞报告的调查人员不得为该漏洞代码的编写人员。
    • 任何时候,您都不可公布或向第三方提供您发现的漏洞或潜在漏洞。 如果发现此类行为,我们将会取消您获得奖励里程的资格。
    • 您不可在知情的情况下访问或获取任何美联航乘客或会员的个人信息,更不可故意为之。 如果我们认为您在知情的情况下或者故意访问或获取了任何美联航乘客或会员的个人信息,则将立刻取消您参与此计划的资格。 如果您在偶然情况下访问或者获取了任何美联航乘客或会员的个人信息,则必须立刻停止所有相关活动。
    • 对于每个提交的合格漏洞,您仅能赢取一次奖励里程。 根据此类条款和条件,您可以无限次数地赢取奖励里程。
    • 请注意,里程支付将按照您的居住国或国籍征收税费,每年赢取的里程将按每里程 2% 的税率加收税费。 您需自行对任何税务问题负责。 如果您想向慈善组织捐赠您的里程,请告知我们。
    • 在所报告问题得到解决之后,美联航将针对提交的每个合格漏洞提供奖励。 我们希望在确认每个合格漏洞之后的 90 天内解决该问题。
    • 不能将您参与此计划的行为,或者美联航条款中包含的任何内容视为您与美联航或其附属公司之间成立或者暗示成立合资企业、合作伙伴关系、代理或者雇佣关系。
    • 您通过本计划收到的或者收集的有关美联航或其附属公司或者会员的信息(无论为口头形式、图像形式、书面或者电子形式)均为机密专有信息(“机密信息”)。 在本计划中,如果某些信息和/或材料在通常情况不可为公众所获得,则会视这些信息及材料为”机密信息“;或者如果由于信息或材料的性质,普通人会将这些信息和/或材料视为”机密“或者”专有“信息,则这些信息及材料也属于”机密信息“。
    • 必须确保机密信息的机密性,并且只有在与此计划有关时,方可使用这些机密信息。 如未事先获得美联航的书面批准,您不得使用、披露或者发布任何此类机密信息。
    • 您同意保护、保障及确保美联航及其附属公司及其各自的高级职员、总监、代理、员工和供应商不会由于您参与此计划、违反美联航条款或者不恰当地利用此计划而由任何第三方提起或导致的任何索赔或要求(包括法律费用)伤害。
    • 通过此计划提供的奖励里程并非贵宾合格里程 (Premier®)。
    • 此优惠可能随时发生变动,恕不另行通知。 其他限制条款可能适用。
    • 累积的里程、奖励和提供的优待可能会发生变化,受美联航前程万里计划相关规则的限制,包括但不限于本文明确表述的贵宾 (Premier®) 计划。 美联航可能会随时更改前程万里 (MileagePlus) 计划,包括但不限于规则、规章、旅游奖励和特殊优惠或终止前程万里 (MileagePlus) 计划,恕不另行通知。 美联航及其子公司、附属机构以及代理机构对其他参加活动的公司及合作伙伴所提供的任何产品或服务概不负责。 会员需自行承担与奖励旅行有关的税费。 额外奖励里程、奖励里程及通过非飞行活动赢取的任何其他里程不可用于升级贵宾 (Premier) 身份,除非特别说明。 里程的累积、贵宾 (Premier) 身份或环球服务任何其他会员身份并不意味着会员拥有前程万里 (MileagePlus) 常飞旅客计划的任何既定权利。 与前程万里 (MileagePlus) 计划和/或贵宾 (Premier) 计划有关的所有计算,包括但不限于里程的累积和贵宾 (Premier) 计划资格要求的符合度,和/或计算更改(包括任何估计值的更改)都将由美国联合航空公司和前程万里 (MileagePlus) 自行执行,且得出的计算值将被视为最终结果。 本文中与前程万里 (MileagePlus) 计划有关的信息并不一定完整或全面,可能未涵盖会员认为重要的所有信息,整体参照 united.com 网站和前程万里 (MileagePlus) 计划规则的所有信息而制定。 美联航 (United) 和前程万里 (MileagePlus) 均为注册服务商标。 欲了解前程万里 (MileagePlus) 常飞旅客计划的完整详情,请访问 united.com/MileagePlus