Auditing United Airlines - Bug Bounty Program

Acum câteva luni de zile cei de la United Airlines au deschis un program de Bug Bounty puțin mai diferit decât cele deja existente. Adică, în loc să te premieze cu o anumită sumă de bani, te premiază în mile pe care le poți folosi pentru a zbura (or for car rentals, hotel stays, merchandise and more) cu linia lor sau una care face parte din cadrul Star Alliance. Recompensele sunt cuprinse între 50,000 / 250,000 până la 1,000,000 de mile. Ca să fiu mai explicit, sunt doar niște puncte de "loialitate". De exemplu, un zbor București - Dublin valorează cam 30,000 miles.

Sună promițător, nu? :)

După câteva zile de la deschiderea programului, am început să caut și eu vulnerabilități în *.united.com (cred că așa era la început - după care au modificat lăsând valide doar câteva subdomenii - dar au specificat in TOS că pot schimba regulile când vor ei, deci nu putem comenta).


După 2 luni de așteptări și 29 de vulnerabilități descoperite și trimise, am primit primul răspuns:
o recompensă de 50,000 mile în cadrul programului MilesAge. În așteptare mai sunt încă alte 3 vulnerabilități (au fost validate, dar nu le-au reparat). Bănuiesc că și acelea vor fi încadrate tot cu 50,000 fiecare, rezultând un total de 200,000 de miles. Având în vedere că testarea a durat doar două zile, pot spune că sunt mulțumit.



7 comments:

  1. Salut , TinKode , îți prefer numele real.

    Puțin cam "weird" primul mdu comm. la tine , dar aş vrea să îți sugestionez ceva: poți să le arăți celor de la Steam că nu au cea mai bună securitate?

    Ar părea o porcărie , pt. ca Steam e aproape de nehackuit , am încercat şi eu , dar injecția trimisă a cam eşuat..

    Frate , fă asta şi te voi considera un zeu. App. pune pe market toate cuțitele de la CS:GO la 3 cenți :)).

    Bun , whatever , eşti super tare , ține-o tot aşa şi încearcă acest lucru.

    Ceaw

    ReplyDelete
    Replies
    1. Vai de .... mea, ce copil.

      Delete
    2. Ai incercat multe, sunt sigur. Dupa ce ai scris aici pot spune ca esti doar un copil fara ocupatie care a vazut si el niste clip-uri pe YouTube, a invatat sa scrie cateva comenzi in Terminal si gata, se crede mare "hacker". Chiar crezi ca oricine poate sa "hackuiasca" Steam sau orice site de genul asta? Crezi ca oamenii de la Valve care se ocupa cu securitatea sunt platiti degeaba? Crezi ca Lord Gaben e doar un fraier? Eu nu prea cred.

      Delete
    3. Te va asculta sigur !
      O sa-ti puna cutitele la 3 centi =)))))))

      Delete
    4. Sigur asa va face !
      O sa-ti puna cutitele la 3 centi =)))))))))))

      Delete
  2. Copii prosti ce sunteti :| auziti la ei cica el ea de pe youtube, problema e ca voi copii copaci cautatibpe Google: hacker, cum sa fii hacker, cei mai mari hacker, apoi sunteti hateri ca nu intelegeti ce fac ei :| acesta este cel mai mare hacker, el nu ia de pe net ma parlitilor, el analizeaza un sistem, apoi ii cauta punctele sensibile, sa nu mai spun ca Razvan e profesor la scripting, si-a facut si propriul program pentru spart servere

    ReplyDelete
  3. Bine zis Marius. Razvan a spart NASA si PENTAGON si alte d-astea grele ... DOBITOCILOR.

    ReplyDelete