in

Actualización del programa Hyatt Bug Bounty: Preguntas y respuestas con el analista senior Robert Lowery


P: Díganos quién es usted.

Soy Robert Lowery, analista senior de Hyatt. Soy parte del equipo de administración de vulnerabilidades que supervisa el programa de recompensas de errores, AppSec, las pruebas de penetración y la corrección de vulnerabilidades. También ayudamos con los requisitos reglamentarios para garantizar que cumplimos con las reglamentaciones. Una parte fascinante de mi trabajo es realizar pruebas de penetración en hoteles. Nuestro equipo visita las propiedades para realizar pruebas de penetración físicas y basadas en la red. Es una gran oportunidad para recorrer las propiedades de Hyatt, encontrar formas de mejorar nuestra seguridad y compartir estas ideas con colegas.

P: Cuéntenos sobre la evolución de su programa de recompensas por errores desde 2018 hasta hoy.

En Hyatt, nuestro programa de recompensas por errores nos permite cumplir con nuestro propósito de cuidar a las personas para que puedan hacer su mejor esfuerzo. La protección de la información de colegas e invitados es una de las principales prioridades, y hemos identificado a Bug Bounty como otra forma de mejorar nuestros esfuerzos de ciberseguridad. Fue muy gratificante ver cómo se desarrollaba nuestro programa de recompensas por errores. El programa comenzó de forma privada en septiembre de 2018 con siete investigadores. En tres meses, reconocimos los beneficios del programa y lo expandimos rápidamente a un programa global de recompensas por errores públicos en enero de 2019.

La transición a un programa público fue muy emocionante. Los informes de los investigadores mostraron un pensamiento creativo y estratégico impulsado por habilidades altamente especializadas, y fue emocionante ver su trabajo. Gracias al fantástico equipo de clasificación de HackerOne y la dedicación de los miembros de nuestro equipo para hacer correcciones, el programa creció a un nivel emocionante.

Desde el lanzamiento público, hemos ampliado constantemente el alcance del programa y hemos aumentado los pagos de primas. El alcance no solo creció de los activos de cara a los huéspedes a los activos comerciales externos, sino que también hemos agregado otros tipos de vulnerabilidades que son elegibles para pagos de recompensa. Las categorías de privacidad y fraude ahora son elegibles para pagos de recompensa y, lo más importante, ¡nuestros pagos de recompensa por privacidad y detección de fraude han aumentado de $ 2,000 a $ 10,000! Nos enorgullecemos de recompensar a nuestros investigadores por brindar un servicio increíble que solo ellos pueden brindar.

P: ¡Hasta la fecha, ha pagado una recompensa de $ 500,000! Eso es mucho dinero. ¿Cuál es el ROI?

La recompensa de $ 500,000 cubre una amplia variedad de informes. A la fecha, hemos resuelto más de 400 informes y actualmente tenemos 23 activos en alcance. Desde que introdujimos el programa de recompensas por errores, hemos visto una reducción en ciertas vulnerabilidades, como el cruce de rutas y los errores de lógica empresarial. Los equipos y los ejecutivos obtienen continuamente nuevos conocimientos de los informes de recompensas de errores, y los conocimientos se han incorporado y aplicado en muchos procesos de desarrollo. Por ejemplo, cuando se propone una nueva arquitectura, los equipos discuten los informes de recompensas de errores asignables para garantizar que los problemas anteriores ya no existan en versiones futuras.

P: ¿Cómo le ayudaron los piratas informáticos a reducir el riesgo?

Los investigadores de seguridad nos ayudan a reducir el riesgo probando constantemente nuestros entornos de producción. Tenemos una comunidad fantástica de investigadores de seguridad que brindan comentarios y perspectivas que realmente valoramos. Es difícil cuantificar un ataque potencial, pero estamos seguros de que las correcciones de los informes de investigación de seguridad han mejorado nuestra postura de seguridad.

P: ¿Cómo se puede cuantificar la colaboración con los piratas informáticos?

Cada informe cuenta una historia. Estas historias cuentan los peores escenarios que evitamos porque un investigador de seguridad presentó un informe. Contar estas historias a los líderes es una excelente oportunidad para demostrar el valor del programa de recompensas por errores y los investigadores de seguridad que nos permiten hacer crecer nuestro programa aún más.

P: Cuéntenos sobre algunos de los activos en su alcance y la importancia de asegurar esos activos.

Nuestro alcance comenzó con activos orientados a los huéspedes como hyatt.com. Es importante proteger hyatt.com, ya que es la fuente de la mayoría de nuestras reservas. El programa de recompensas por errores ayuda a identificar problemas de seguridad que las herramientas automatizadas no pueden detectar. Las herramientas no pasan por todo el proceso de reserva y evalúan las debilidades en la lógica empresarial como lo hacen los investigadores de seguridad.

P: ¿Cuál es la lección más importante que ha aprendido?

Hemos aprendido muchas lecciones de nuestro programa de recompensas por errores, y una de las más importantes es que los análisis automatizados no pueden detectar todas las vulnerabilidades que existen. Un escáner puede detectar versiones de software vulnerables y algunas configuraciones incorrectas, pero un investigador de seguridad examinará de manera integral los objetivos y comprenderá cómo funcionan juntas todas las diferentes piezas de tecnología. Es muy probable que un escáner no detecte las vulnerabilidades de falsificación de solicitudes del lado del servidor, pero los investigadores de seguridad las encontrarán y proporcionarán informes fascinantes que muestran un alto impacto.

P: ¿Cuál es el éxito futuro del programa Hyatt?

El éxito de Hyatt es la expansión y el crecimiento del programa. Pronto, nuestro programa incluirá recompensas dinámicas que aumentan gradualmente los pagos a lo largo del tiempo para informes de gravedad específicos. Por ejemplo, la recompensa crítica aumentará hasta que se alcance un determinado momento o se presente un informe crítico. Otra prioridad del programa es la creación de una categoría «Súper Crítica» que incluirá una recompensa muy alta y requisitos precisos.

P: Cuando supere el hito de la recompensa de $ 500,000, ¿qué le gustaría decirle a la comunidad de piratas informáticos?

¡Gracias, investigador de seguridad! Agradecemos todo el arduo trabajo y el tiempo que dedicamos a participar en nuestro programa. La asociación con la comunidad de investigación en seguridad ha sido enriquecedora y estamos agradecidos por su trabajo para ayudarnos a proteger la información de nuestros huéspedes y colegas de la mejor manera posible. Nos encanta leer y aprender de los informes de los investigadores de seguridad.

Esperamos profundizar nuestra relación con la comunidad de investigación en seguridad a medida que continuamos expandiendo nuestro programa.

Para obtener más información sobre los beneficios de un programa de recompensas por errores, lea HackerOne Bounty

What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Los estafadores de la vacuna COVID-19 apuntan a las autoridades de salud en 40 países

¿Es usted, el cliente, el que paga por la demanda de ransomware?