25.9.15

Auditing United Airlines | Bug Bounty Program

A few months ago, United Airlines launched a Bug Bounty program with a slightly different twist compared to the usual ones. Instead of rewarding participants with a sum of money, they opted to offer miles that can be used for flights or other perks such as car rentals, hotel stays, or merchandise with both their airline and those within the Star Alliance. Rewards range from 50,000 to 250,000 up to 1,000,000 miles, operating essentially as loyalty points. For instance, a flight from Bucharest to Dublin costs around 30,000 miles.

A few days after the program's launch, I began searching for vulnerabilities in *.united.com (I believe that was how it started—later they narrowed it down to only a few subdomains, but they specified in the TOS that they could change the rules as they pleased, so no comments there). 

After two months of waiting and discovering 29 vulnerabilities, I received my first response: a reward of 50,000 miles within the MilesAge program. There are still three pending vulnerabilities (they were acknowledged but not yet fixed). I suspect they will also be rewarded with 50,000 each, resulting in a total of 200,000 miles. Considering the testing lasted only two days, I can say I'm satisfied.

THE BOUNTY


Share on:

7 comments:

  1. Salut , TinKode , îți prefer numele real.

    Puțin cam "weird" primul mdu comm. la tine , dar aş vrea să îți sugestionez ceva: poți să le arăți celor de la Steam că nu au cea mai bună securitate?

    Ar părea o porcărie , pt. ca Steam e aproape de nehackuit , am încercat şi eu , dar injecția trimisă a cam eşuat..

    Frate , fă asta şi te voi considera un zeu. App. pune pe market toate cuțitele de la CS:GO la 3 cenți :)).

    Bun , whatever , eşti super tare , ține-o tot aşa şi încearcă acest lucru.

    Ceaw

    ReplyDelete
    Replies
    1. Vai de .... mea, ce copil.

      Delete
    2. Ai incercat multe, sunt sigur. Dupa ce ai scris aici pot spune ca esti doar un copil fara ocupatie care a vazut si el niste clip-uri pe YouTube, a invatat sa scrie cateva comenzi in Terminal si gata, se crede mare "hacker". Chiar crezi ca oricine poate sa "hackuiasca" Steam sau orice site de genul asta? Crezi ca oamenii de la Valve care se ocupa cu securitatea sunt platiti degeaba? Crezi ca Lord Gaben e doar un fraier? Eu nu prea cred.

      Delete
    3. Te va asculta sigur !
      O sa-ti puna cutitele la 3 centi =)))))))

      Delete
    4. Sigur asa va face !
      O sa-ti puna cutitele la 3 centi =)))))))))))

      Delete
  2. Copii prosti ce sunteti :| auziti la ei cica el ea de pe youtube, problema e ca voi copii copaci cautatibpe Google: hacker, cum sa fii hacker, cei mai mari hacker, apoi sunteti hateri ca nu intelegeti ce fac ei :| acesta este cel mai mare hacker, el nu ia de pe net ma parlitilor, el analizeaza un sistem, apoi ii cauta punctele sensibile, sa nu mai spun ca Razvan e profesor la scripting, si-a facut si propriul program pentru spart servere

    ReplyDelete
  3. Bine zis Marius. Razvan a spart NASA si PENTAGON si alte d-astea grele ... DOBITOCILOR.

    ReplyDelete