Cadena hotelera lanza su propio programa de recompensas por vulnerabilidades

El grupo Hyatt recurrirá a la colaboración con expertos externos para evitar incidentes que pudieran afectar los datos personales de sus clientes

Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan que el grupo hotelero Hyatt Hotels ha anunciado la implementación de un programa de recompensas por vulnerabilidades, luego de sufrir un incidente de robo de información de tarjetas de pago.

La empresa informó en días recientes que esta iniciativa será llevada a cabo en colaboración con el programa de recompensas HackerOne, además de agregar que estará diseñada para que Hyatt Hotels “aproveche la amplia experiencia de la comunidad de la ciberseguridad para identificar y solucionar posibles vulnerabilidades antes de que éstas afecten a los clientes.”

“En Hyatt, la protección de los datos de todos nuestros clientes es una de nuestras prioridades, por lo que el lanzamiento de este programa de recompensas significa un enorme paso para mantener la información de nuestros huéspedes siempre a salvo”, declaró Benjamin Vaughn, gerente de TI  de la cadena hotelera.

Expertos en seguridad en redes, hacking ético, etc., podrán utilizar la plataforma de HackerOne para reportar vulnerabilidades, errores de seguridad, fugas de los servidores y cualquier otro incidente similar antes de que los hackers maliciosos entren en escena, previniendo así algún robo de datos o cualquier ciberataque.

Este programa será público y los investigadores podrán trabajar reportar vulnerabilidades en múltiples dominios propiedad del grupo hotelero, como hyatt.com, m.hyatt.com, world.hyatt.com, además de sus aplicaciones móviles para sistemas operativos iOS y Android.

En este programa serán considerables para recompensas los reportes de vulnerabilidades de omisión de autenticación, inyecciones SQL, envío de solicitudes falsas, secuencias de comandos entre sitios (XSS), entre otros. En cuanto a la evaluación de los reportes, la empresa ha optado por el uso del estándar Common Vulnerability Scoring Standard para determinar la seriedad de las vulnerabilidades reportadas.

Acorde a reportes de expertos en seguridad en redes, los reportes de vulnerabilidades consideradas críticas recibirán un pago de hasta 4 mil dólares. Errores considerados de severidad media podrían recibir hasta mil 200 dólares, mientras que los reportes de fallas más comunes recibirán entre 300 y 600 dólares.

En años recientes las cadenas hoteleras y otros negocios similares se han convertido en uno de los blancos predilectos de los cibercriminales debido a la gran cantidad de información sensible que estos negocios procesan y almacenan día a día. Empresas como Radisson Hotel Group, Marriott, además del propio Hyatt Hotels son algunas de las víctimas de ciberataques más relevantes.

En 2015, 250 propiedades administradas por Hyatt en países como EE. UU., Reino Unido, China, Alemania, Japón, Italia, Francia, Rusia y Canadá fueron objeto de un ciberataque. En el incidente, se inyectó malware de robo de información en los sistemas de la empresa para extraer información de las tarjetas de pago de sus clientes.