Brussels Airlines Declaración de divulgación responsable

Como investigador de Intigriti, usted puede ganar un buen dinero. Si está dispuesto a salir a la luz pública con sus actividades de hacking responsable, podrá recibir recompensas financieras. Intigriti paga recompensas por cada error que logre encontrar y comunicar como el primer investigador. Tenga en cuenta que Intigriti no acepta registros de investigadores anónimos.

Si su informe de vulnerabilidad es válido y desea que se le reconozca por su contribución, con mucho gusto le agregaremos a nuestro «Paseo de la Fama de InfoSec de Brussels Airlines», indicando su nombre o de forma anónima. Tenga la seguridad de que solo le agregaremos a nuestro «Paseo de la Fama» si lo solicita explícitamente.

Si prefiere no facilitar su nombre y sus datos de contacto, puede informar sobre una vulnerabilidad directamente a Brussels Airlines. Sin embargo, debe tener en cuenta que sin esta información no podremos hablar con usted sobre los próximos pasos a seguir ni agregarle a nuestro «Paseo de la Fama».

Para informarnos directamente sobre una vulnerabilidad, envíe un correo electrónico a nuestro equipo de seguridad:

​InfoSec@brusselsairlines.com

Nuestros especialistas leerán su informe y comenzarán a trabajar en ello de inmediato.

Asegúrese de que su correo electrónico es claro y conciso. En particular, incluya la siguiente información:

• Descripción de la vulnerabilidad o el riesgo descubierto
• Evidencia del hallazgo (por ejemplo, prueba de concepto, vídeo, captura de pantalla, etc.)
• Los pasos que ha dado
• La URL completa
• Objetos posiblemente implicados

Algunos ejemplos de vulnerabilidades podrían ser:

• Vulnerabilidades de secuencias de comandos en sitios cruzados (XSS)
• Vulnerabilidades de inyección por SQL
• Ejecución de código remoto
• Omisión de autenticación
• Vulnerabilidades de cifrado

Para garantizar que las pruebas sean legales, evite utilizar técnicas invasivas o destructivas. Siga siempre estas reglas::

• No interrumpa nuestros servicios en línea.
• No utilice técnicas que puedan influir en la disponibilidad de nuestros servicios en línea.
• No realice ningún cambio en el sistema.
• No modifique ni elimine ningún dato del sistema.
• En caso de que su hallazgo requiera una copia de los datos del sistema, no copie más de lo que requiera su investigación. Si un registro es suficiente, no copie más.
• No publique datos de clientes o empresas.
• No cree una puerta trasera en ningún sistema. .
• No intente penetrar en el sistema más de lo necesario. En caso de que pueda penetrar con éxito en el sistema, no comparta el acceso obtenido con otras personas.
• No utilice técnicas de fuerza bruta (por ejemplo, introducir contraseñas repetidamente) para obtener acceso al sistema.
• No utilice la ingeniería social para acceder a nuestros sistemas de TI.

Para garantizar el mejor resultado, siga estas directrices:

• Redacte su informe en neerlandés, francés o inglés. Los informes redactados en otros idiomas no se procesarán.
• Facilítenos suficientes detalles para que podamos reproducir la vulnerabilidad.
• Concédanos un tiempo razonable para solucionar la vulnerabilidad antes de hacer pública cualquier información.
• Consulte con nosotros antes de hacer pública cualquier información.
• No pida a Brussels Airlines que le recompense por su informe.

Usted puede esperar de nosotros los siguientes compromisos:

• Le informaremos de que hemos recibido su informe.
• Le daremos una estimación del tiempo que se tardará en encontrar una solución.
• Le informaremos cuando hayamos solucionado la vulnerabilidad.

Su información personal solo se utilizará para que podamos acceder a usted en relación con su informe de vulnerabilidad. No distribuiremos su información personal a terceros sin su permiso. Si la ley nos exige que facilitemos su información personal a una autoridad, nos aseguraremos de que la autoridad correspondiente trate su información personal de manera confidencial. Seremos responsables de su información personal.