Hyatt Hotels pokreće bug bounty program

Hoteli Hyatt pokrenuli su program nagrađivanja grešaka u svjetlu nedavnih napada skimmingom na ugostiteljske lance.

U srijedu je tvrtka rekla da će nova inicijativa biti smještena u programu za dodjelu grešaka HackerOne i osmišljena je da omogući Hyattu "iskoristiti golemu stručnost zajednice istraživanja sigurnosti kako bi se ubrzalo prepoznavanje i popravljanje potencijala ranjivosti."

Etički hakeri mogu koristiti platformu -- kao i konkurentske usluge kao što je Bugcrowd -- za prijavu ranjivosti, sigurnosnih nedostataka, curenje poslužitelja i više prije nego što manje dobronamjerni pojedinci naiđu na njih, što potencijalno može dovesti do kibernetičkih napada ili podataka krađa.

The bug bounty program je javna i uključuje glavnu hyatt.com domenu, m.hyatt.com, world.hyatt.com, te mobilne aplikacije Hyatt za iOS i Android.

Novo podrijetlo otkrivanje IP adrese, autentifikacijsko zaobilaženje, pristup pozadinskom sustavu putem front-end usluga, izlaz iz spremnika, SQL ubacivanja, krivotvorenje zahtjeva između web-mjesta, WAF zaobilaženje i bugovi skriptiranja između web-mjesta (XSS) razmatrat će se za nagrade, između ostalog pitanja.

CNET: Poruke na Twitteru ruskoj tvrtki za kibernetičku sigurnost pomogle su NSA-i u istrazi curenja podataka

Hyatt je odlučio koristiti standard Common Vulnerability Scoring Standard (CVSS) za procjenu ozbiljnosti pronađenih sigurnosnih nedostataka.

Istraživači koji prijave valjane nedostatke visoke ozbiljnosti mogu očekivati ​​nagrade do 4000 USD; važni bugovi će im zaraditi 1200 dolara, a manje ozbiljne ranjivosti vrijede između 300 i 600 dolara.

"U Hyattu je zaštita podataka o gostima i kupcima naš glavni prioritet, a pokretanje ovog programa predstavlja važan korak koji unapređuje naš cilj zaštite naših gostiju svaki dan," rekao je Benjamin, direktor za informacijsku sigurnost Hyatta Vaughn. "Kao jedan od prvih svjetskih ugostiteljskih brendova koji je pokrenuo ovu vrstu programa, proširujemo načine na koje se brinemo za naše goste i produbljujemo svoju predanost zaštiti njihovih osjetljivih podataka."

U Pitanja i odgovori uz HackerOne, Vaughn je rekao da je prvo pokrenut program samo uz pozivnicu, koji bi mogao iznositi 5650 dolara u nagradama za bugove koje su već izdane u vrijeme pisanja.

TechRepublic: Korisnici WordPressa oprez: ovih 10 dodataka najosjetljiviji su na napade

Nažalost, vrlo je uobičajeno da hotelski lanci i drugi u ugostiteljskom sektoru postanu žarište kibernetičkih napada zbog ogromne količine vrijednih podataka koje ove tvrtke obrađuju i pohranjuju.

Hard Rock hoteli i kasina, Loews hoteli, Radisson Hotel Group, the Kolekcija hotela Trump, Marriott, a sam Hyatt Hotels nalazi se na popisu organizacija koje su posljednjih godina doživjele uspješne cyber napade.

U 2015. godini, 250 nekretnina kojima upravlja Hyatt diljem zemalja, uključujući SAD, UK, Kinu, Njemačku, Japan, Italiju, Francusku, Rusiju i Kanadu, bilo je izloženo kibernetičkom napadu. Malware za krađu informacija je ugrađen u sustave, što je dovelo do otkrivanja financijskih podataka korisnika uključujući imena vlasnika kartice, brojeve kartica, datume isteka i interne verifikacijske kodove.

Vidi također: 250 hotela Hyatt zaraženo je prošle godine zlonamjernim softverom za krađu podataka o plaćanju

Druga povreda podataka dogodila se 2017., u kojoj Pogođena je 41 lokacija te je otkriven neovlašteni pristup podacima o platnoj kartici.

Hyatt Hotels sa sjedištem u Chicagu upravlja s više od 750 objekata u 55 zemalja.

Ostale organizacije koje koriste HackerOne kako bi došle do velikog broja sigurnosnih istraživača uključuju Google, Twitter, Ministarstvo obrane SAD-a, GitHub i Qualcomm.

Prethodno i povezano izvješće

• Hotele Hyatt ponovno pogodio zlonamjerni softver za krađu podataka s kreditnih kartica
  
• Hard Rock, Loews hoteli priznaju povredu podataka
  
• Radisson Hotel Group trpi povredu podataka, podaci o klijentima procurili