Informe de vulnerabilidad de la seguridad del sitio de Alaska Airlines
Estamos comprometidos a salvaguardar la privacidad de la información de nuestros clientes y brindarles una experiencia digital segura en nuestra red, sitio web y aplicaciones móviles. Si ha encontrado alguna vulnerabilidad de seguridad en cualquiera de estos servicios, nos gustaría saberlo para poder evaluar el riesgo. Para esto, hemos lanzado un programa de divulgación responsable para abordar los problemas relacionados con la seguridad.
Para informar una supuesta vulnerabilidad al equipo de Seguridad cibernética de Alaska Airlines, complete el formulario que aparece a continuación. Su comunicación será revisada y verificada; posteriormente, nuestros representantes se comunicarán con usted con algunas preguntas adicionales.
Pautas para informar vulnerabilidades
A fin de proteger a nuestros clientes, debemos asegurarnos de que cualquier tipo de informe se haga de forma responsable, de manera que nos reservados el derecho de tomar las medidas correspondientes, incluidas medidas legales, si no se siguen las pautas que aparecen a continuación:
- Al transmitir la vulnerabilidad, usted acuerda no divulgar dicha vulnerabilidad a un tercero sin la autorización por escrito de Alaska Airlines.
- No comprometa la privacidad ni la seguridad de nuestros clientes.
- No realice ningua prueba en la aeronave ni en los sistemas de la aeronave, como entretenimiento a bordo o Wi-Fi a bordo.
- No interrumpa ni deteriore nuestros servicios.
- No inicie transacciones fraudulentas.
- No modifique ni acceda a datos que no le pertenecen.
- Proporcione suficientes detalles para reproducir y validar la vulnerabilidad, incluidos objetivos, pasos, herramientas y artefactos.
- Si utiliza herramientas de terceros para detectar, informar o reproducir la vulnerabilidad, le pedimos nos lo comunique para poder garantizar los derechos de propiedad intelectual de dichos terceros.
- Otorgue a Alaska Airlines el tiempo suficiente para abordar la vulnerabilidad antes de solicitar una actualización o tomar alguna medida adicional.
Puntos fuera del ámbito de aplicación
- Vulnerabilidades informadas anteriormente
- Vulnerabilidades con el Wi-Fi a bordo, los sistemas de entretenimiento o la aviónica
- Acceso a archivos y directorios no sensibles (p. ej., README.TXT, CHANGES.TXT, robots.txt, gitignore, etc.)
- Ataques de ingeniería social/phishing
- Auto XSS
- Inyección de textos
- Correos electrónicos engañosos (incluida la falta de SPF, DKIM, De: problemas relacionados, de engaño y visualmente similares)
- Mensajes de error descriptivos (p. ej.: trazas de la pila, errores de la aplicación o del servidor, divulgación de la ruta)
- Clickjacking y problemas únicamente explotables a través de clickjacking. Los problemas de falsificación de petición de sitios cruzados o CSRF no afectan la integridad de una cuenta (p. ej.: iniciar o cerrar sesión, formularios de contacto y otros formularios accesibles públicamente) Falta de indicadores de cookies seguros y de HTTPOnly
- Falta de encabezados de seguridad HTTP
- Problemas de TLS/SSL, incluidos BEAST, BREACH, renegociación insegura, malos conjuntos de cifrado, certificados vencidos
- Software obsoleto
Bugs de terceros
Si las vulnerabilidades presentadas a través de nuestro formulario de divulgación afectan a una biblioteca de terceros, un proyecto externo u otro proveedor, Alaska Airlines se reserva el derecho de reenviar los detalles de la vulnerabilidad al tercero sin necesidad de seguir discutiendo el asunto con usted. Al enviar una vulnerabilidad para nuestra revisión, usted acepta divulgar dicha vulnerabilidad a cualquier tercero involucrado en nuestros sitios, y a ser contactado por dicho tercero. Haremos todo lo posible por comunicarnos con usted durante este proceso.