Brussels Airlines | Bug Bounty

El programa Bug Bounty de Brussels Airlines forma de parte la plataforma Intigriti. Como resultado, todas las presentaciones de Brussels Airlines Bug Bounty deben realizarse para su revisión a través del portal Intigriti.

La seguridad es una prioridad en el mundo de la aviación. Nuestras soluciones de TI no son una excepción a esta regla.


Categorías de recompensas

Los pagos de recompensas están determinados por el nivel de acceso o ejecución alcanzado por el error y la calidad del informe:

Recompensa de seguridad


 

Bajo

Medio

Alto

Crítico

Excepcional

Nivel 2

0€

500€

1.500€

2.500€

5.000€


Evaluación de la gravedad

Excepcional

  • Ejecución de Código Remoto

Crítico

  • Acceso a todos los detalles del viajero
  • Acceso a datos confidenciales de viajeros

Alto

  • Vulnerabilidades que afectan a la seguridad de la plataforma, dónde se incluye XSS stored

Medio

  • Vulnerabilidades que afectan a múltiples usuarios y requieren poca o ninguna interacción del usuario dónde se incluye XSS reflected

Forman parte del programa

Dominios

loop.brusselsairlines.com

Nivel 2

Url

1016513055

Nivel 2

iOS

bprofile.brusselsairlines.com

Nivel 2

Url

com.brusselsairlines.bmobile

Nivel 2

Android

press.brusselsairlines.com

Nivel 2

Url

www.brusselsairlines.com

Nivel 2

Url

Estamos especialmente interesados en averiguar cómo se puede explotar nuestro sistema con las siguientes técnicas:

  • Escalada de privilegios horizontal o vertical
  • XSS (excluido self-xss y sólo en las últimas versiones de los navegadores)
  • RCE
  • Injección SQL
  • ...

Quedan fuera del alcance del programa

Todos los subdominios de Brussels Airlines están fuera del alcance del programa, excepto los dominios mencionados en la sección anterior. TDP (reserva de entradas) también está fuera del alcance.

Tampoco califican las siguientes prácticas:

  • Fuerza bruta/Escáneres automatizados
  • Ataques de Denegación de Servicio (DoS) y Ataques Distribuidos de Denegación de Servicio (DDoS)
  • Self-XSS
  • Listado de ficheros/directorios sin revelar ninguna información confidencial
  • Configuración incorrecta de CORS (Cross-origin resource sharing) que permite el intercambio de recursos no relevantes
  • Ausencia de cabeceras de seguridad en las cookies
  • Ausencia de cabeceras (headers) de seguridad (a menos que la falta de una de ellas sea la causa directa de una vulnerabilidad)
  • CSRF (Cross-site Request Forgery) con bajo impacto
  • Funcionalidad de autocompletado en formularios
  • Reverse Tabnabbing (tabulación inversa) que permite ataques de phishing
  • Ausencia de una política fuerte de contraseñas
  • Clickjacking en páginas sin acciones sensibles
  • Inyección CSV (inyección de fórmulas)
  • Inyección Host Header
  • Sesiones no invalidadas (cierre de sesión, habilitación 2FA ...)
  • Inyección Hyperlink
  • Errores de tipo de Mixed Content (contenido mixto)
  • Fugas Cross-domain Referer
  • Email Spoofing (SPF, DMARC o DKIM)
  • Inyección de contenido
  • Ataques de enumeración de usuarios, direcciones de correo electrónico y otros datos irrelevantes
  • E-mail bombing (ataque de spamming que consiste en el envío masivo de correos electrónicos)
  • Homograph attacks (ataques que consisten en mostrar una URL falsa en el navegador utilizando símbolos similares entre sí, diferentes idiomas pueden contener caracteres diferentes pero muy parecidos)
  • XMLRPC habilitado (Remote Procedure Call es un protocolo de llamada a procedimiento remoto que usa XML para codificar los datos y HTTP como protocolo de transmisión de mensajes)
  • Abrir puertos sin una prueba de concepto que demuestre una vulnerabilidad
  • Configuraciones SSL de cifrado débil e informes de análisis SSL/TLS
  • No eliminar metadatos de imágenes
  • Divulgación de API Keys sin impacto real
  • Vulnerabilidades que requieren de ingeniería social
  • No se aceptarán vulnerabilidades en navegadores no actualizados
  • Ataques que requieren el uso de computadoras compartidas, man in the middle o cuentas de usuario comprometidas
  • Vulnerabilidades 0 day en software y que no se han divulgado públicamente durante dos semanas o menos
  • Ataques que requieren la interacción poco realista del usuario

Fuera del alcance en entorno móvil:

  • Enlaces compartidos filtrados a través del portapapeles del sistema
  • Los URIs filtrados porque una app maliciosa tiene permiso para ver los URIs abiertos
  • Ausencia de "certificate pinning"
  • Datos confidenciales en el request body cuando están protegidos por TLS
  • La falta de ofuscación está fuera del alcance
  • Divulgación del Path en el binario
  • Crashes debidos a URL Schemes mal formados
  • Falta de controles de protección binaria (anti-debugging), SSL pinning móvil
  • Ausencia de Snapshot/Pasteboard
  • Ausencia de API key utilizada para actividades no sensibles
  • Ataques que requieren acceso físico al dispositivo de la víctima
  • Ataques que requieren la instalación de aplicaciones maliciosas en el dispositivo de la víctima

¿Tiene una emergencia? ¿Necesita soporte de manera urgente? Póngase en contacto con nosotros en support@intigriti.com


Fuente: https://www.intigriti.com/programs/brusselsairlines/website/detail