Auditing United Airlines - Bug Bounty Program

Acum câteva luni de zile cei de la United Airlines au deschis un program de Bug Bounty puțin mai diferit decât cele deja existente. Adică, în loc să te premieze cu o anumită sumă de bani, te premiază în mile pe care le poți folosi pentru a zbura (or for car rentals, hotel stays, merchandise and more) cu linia lor sau una care face parte din cadrul Star Alliance. Recompensele sunt cuprinse între 50,000 / 250,000 până la 1,000,000 de mile. Ca să fiu mai explicit, sunt doar niște puncte de "loialitate". De exemplu, un zbor București - Dublin valorează cam 30,000 miles.

Sună promițător, nu? :)

După câteva zile de la deschiderea programului, am început să caut și eu vulnerabilități în *.united.com (cred că așa era la început - după care au modificat lăsând valide doar câteva subdomenii - dar au specificat in TOS că pot schimba regulile când vor ei, deci nu putem comenta).


După 2 luni de așteptări și 29 de vulnerabilități descoperite și trimise, am primit primul răspuns:
o recompensă de 50,000 mile în cadrul programului MilesAge. În așteptare mai sunt încă alte 3 vulnerabilități (au fost validate, dar nu le-au reparat). Bănuiesc că și acelea vor fi încadrate tot cu 50,000 fiecare, rezultând un total de 200,000 de miles. Având în vedere că testarea a durat doar două zile, pot spune că sunt mulțumit.