Khách sạn Hyatt ra mắt chương trình Public Bug Bounty

Khách sạn Hyatt ra mắt chương trình Public Bug Bounty

January 11, 2019 | vietsunshine

Tập đoàn khách sạn Hyatt đã công bố ra mắt chương trình tiền thưởng lỗi công khai (public bug bounty) cho các trang web và ứng dụng di động.

Hyatt và các chi nhánh của nó điều hành hơn 750 khách sạn tại hơn 55 quốc gia. Nhà điều hành khách sạn có trụ sở tại Chicago đã tiết lộ hai vi phạm thẻ thanh toán trong những năm qua: một vào năm 2016, ảnh hưởng đến 250 khách sạn trên toàn thế giới và một trong năm 2017, đã tấn công hơn 40 khách sạn ở Châu Mỹ và Châu Á.

Sau những vi phạm dữ liệu này, công ty đã hợp tác với nền tảng bug bounty HackerOne cho một chương trình bí mật, hiện tại họ đã quyết định công khai chương trình này.

Chương trình của Hyatt sẽ bao gồm các tên miền hyatt.com và world.hyatt.com, cùng với các ứng dụng di động của Hyatt Hotels dành cho iOS và Android.

Các nhà nghiên cứu đã được mời để tìm và báo cáo các loại lỗ hổng khác nhau, bao gồm authentication bypass, backend system access, origin IP discovery, container escape, data exposure, SQL injection, cross-site scripting (XSS), firewall bypass, cross-site request forgery (CSRF) và các vấn đề kiểm tra tài khoản tự động.

Các lỗ hổng cực kỳ nghiêm trọng có thể giúp hunter kiếm được tới 4.000 đô la, trong khi các vấn đề nghiêm trọng có thể nhận được tới 1.200 đô la. Lỗ hổng mức độ trung bình và thấp có thể có giá trị tối đa tương ứng là $600 và $300.

Khách sạn đã hứa sẽ trả lời các báo cáo và xử lý chúng trong vòng một ngày làm việc. Khoản thanh toán nên được dự kiến trong vòng 30 ngày đối với các lỗ hổng cực kỳ nghiêm trọng, 60 ngày đối với các lỗi nghiêm trọng cao và 90 ngày đối với các điểm yếu nghiêm trọng trung bình.

“Tại Hyatt, bảo vệ thông tin của khách và khách hàng là ưu tiên hàng đầu của chúng tôi và triển khai chương trình này là một bước quan trọng giúp củng cố mục tiêu của chúng tôi là giữ an toàn cho khách hàng mỗi ngày. Là một trong những thương hiệu khách sạn toàn cầu đầu tiên tung ra loại chương trình này, chúng tôi mở rộng các cách chúng tôi chăm sóc khách hàng và tăng cường cam kết bảo vệ thông tin nhạy cảm của họ,” Benjamin Vaughn, CISO của Hyatt cho biết.

Tags: , ,