Fuente: www.hackerone.com – Autor: johnk. Han pasado dos años desde que Upserve lanzó su programa público de recompensas por errores en HackerOne. Durante ese tiempo, el equipo de seguridad de Upserve ha resuelto más de 85 vulnerabilidades válidas gracias a los piratas informáticos, pagando 68.000 dólares en recompensas a lo largo del camino. Más de 10.000 restaurantes utilizan Upserve para gestionar las relaciones con más de 57 millones de comensales activos, procesar más de 9.900 millones de dólares en ventas anuales y servir más de 36 millones de comidas al mes. El equipo de seguridad de Upserve es responsable de proteger la información sobre los huéspedes y empleados del restaurante, la información de las tarjetas de pago y la información comercial confidencial, como los datos de ventas recopilados a través del software de gestión y POS para restaurantes de Upserve. Para celebrar el segundo aniversario de su programa público de recompensas por errores en HackerOne, nos sentamos con el Oficial de Seguridad de la Información de Upserve, Bryan Brannigan, para recordar sus humildes comienzos, aprender más sobre cómo incorporan a los piratas informáticos en sus iniciativas de seguridad y discutir cómo han aumentado. participación a través de divulgaciones públicas. Échale un vistazo: P: Preséntate y presenta a Upserve. Cuéntenos qué hace y por qué la ciberseguridad es tan importante para su negocio. R: Soy Bryan Brannigan y me ocupo de los programas de privacidad y seguridad de la información de Upserve. Upserve es el ingrediente mágico que ayuda a los dueños de restaurantes a tener un gran éxito, brindándoles todo lo que necesitan para administrar un restaurante en un solo centro. Upserve ofrece el punto de venta de restaurantes en la nube líder en el mercado, información procesable, procesamiento de pagos, inventario y pedidos automatizados, herramientas para la fuerza laboral y administración móvil de restaurantes. La ciberseguridad es fundamental para nuestro negocio porque los propietarios de restaurantes confían en nosotros para proteger no solo su información sino también la de sus invitados. Nos han confiado la tarea de hacer lo correcto para mantener segura esta información y su negocio, y tomamos esa responsabilidad en serio. P: ¿Por qué Upserve decidió iniciar un programa de recompensas por errores en primer lugar? R: Upserve siempre ha sido receptivo a las revelaciones de vulnerabilidades y ha trabajado con piratas informáticos para resolver errores y recompensarlos por sus informes. Sin una plataforma como HackerOne, esta es una tarea administrativamente onerosa. Sin un programa formal, también hay una participación limitada porque pocos hackers saben de ti a menos que seas un nombre importante. Pensamos que iniciar un programa formal de recompensas por errores nos ayudaría a acceder a las mentes de muchas personas con perspectivas y habilidades únicas para ayudarnos a identificar mejor las posibles debilidades de nuestro software. En general, pensamos que un programa de recompensas por errores sería un gran complemento a los pasos que ya tomamos para incorporar seguridad a nuestros productos. P: ¿Cómo afecta el programa de recompensas por errores a su estrategia de ciberseguridad más amplia? R: Nuestro programa de recompensas por errores nos permite involucrar a cientos de mentes para que nos ayuden a mejorar continuamente nuestros productos. Realizamos revisiones de código interno, modelado de amenazas, pruebas de penetración y escaneo de vulnerabilidades. Pero los piratas informáticos aportan una perspectiva externa única sobre cómo dañar nuestros productos de una manera que estas otras actividades no lo hacen. Con cada envío válido, aprendemos algo que podemos incorporar al proceso y mejorar la forma en que diseñamos y construimos nuestros productos de forma segura. P: ¿Cuál es el alcance de su programa? ¿Qué hallazgos son más interesantes para su equipo? R: Nuestro alcance es muy abierto e incluye casi todo lo que un hacker puede tener en sus manos (virtuales), incluidos nuestros servicios de Internet y aplicaciones móviles. Cuando marcamos un activo de producción fuera de alcance, intentamos proporcionar una réplica que no sea de producción para realizar pruebas. Por supuesto, los servicios de terceros están fuera de nuestro alcance, pero también intentamos señalar cuándo esos servicios tienen su propio programa de divulgación o recompensa por errores. Cualquier hallazgo que afecte nuestra postura de riesgo es interesante para nosotros, pero los hallazgos más interesantes son aquellos que tienen un impacto directo en la confidencialidad o integridad de los datos de los clientes. P: La mayoría de los programas de recompensas por errores son privados y muchos de ellos no son reconocidos públicamente de ninguna manera por el propietario del programa. ¿Cuándo y cómo decidió Upserve hacer la transición de privado a público? R: Lanzamos nuestro programa privado para comenzar, pero aproximadamente 7 meses después hicimos la transición a un programa público. Teníamos la intención de tener un programa público desde el principio. Si hay un hecho sobre Internet es que hay gente mala que intenta piratear tus cosas todos los días. Dado que muchos de nuestros activos están disponibles para cualquier persona, creemos que tiene sentido permitir que cualquiera participe en nuestro programa. En Upserve creemos en la transparencia y ese valor se traslada a nuestro programa de seguridad. Creo que un programa de seguridad transparente contribuye más a generar confianza en el cliente que un programa que se esconde en las sombras. P: Recientemente ha comenzado a divulgar públicamente algunos de los informes de vulnerabilidad que han llegado a través del programa. ¿Cómo han ayudado las divulgaciones públicas a la participación de su programa? R: Las divulgaciones públicas han generado una gran participación nueva en nuestro programa. Estamos viendo que nuevos piratas informáticos se unen y envían informes. La mayoría de estos informes son problemas nuevos, pero algunos de ellos se basan en un informe divulgado y adoptan un enfoque en el que ni nosotros ni los piratas informáticos anteriores habíamos pensado. Cuando comenzamos el programa, vi la divulgación pública como un beneficio solo para los piratas informáticos, pero ahora veo un claro beneficio para nosotros y nuestro programa de la divulgación pública. P: ¿Qué consejo le daría a los piratas informáticos que participan en su programa? R: La calidad del informe es realmente importante. Está claro cuando un hacker se ha tomado el tiempo para comprender el problema, el impacto y los pasos a seguir para crearlo, y está muy claro cuando no lo ha hecho. Estamos mucho más felices de trabajar y recompensar a las personas que se esfuerzan. P: ¿Qué consejo le daría a otras empresas cuando se trata de ejecutar un programa? R: Ejecutar una recompensa por errores puede ser de gran valor para su negocio, pero debe asegurarse de que usted, su empresa y su SDLC estén listos para él. Se informarán errores de seguridad y arruinarán sus planes para el sprint/mes/trimestre. Esta disrupción es por el bien común, pero es necesario que las partes interesadas estén de acuerdo y apoyen lo que se está haciendo. Defina sus objetivos y mantenga la mente abierta sobre el alcance. Es posible que desee centrarse en una sola aplicación o sitio web o, al igual que Upserve, que desee identificar problemas en todos nuestros activos públicos. Necesita saber lo que quiere hacer y comunicárselo claramente a los piratas informáticos. P: ¿Qué sigue? ¿Cuál es su visión para el programa y/o qué hitos espera alcanzar? R: A medida que la empresa crece, también lo hace nuestro alcance. Esperamos presentar algunos desafíos muy específicos a la comunidad de piratas informáticos en torno a servicios y funciones que creemos que están bien protegidos, pero que podríamos utilizar pruebas guiadas y enfocadas para ayudar con la seguridad. Para obtener más información sobre el programa de recompensas por errores de Upserve en HackerOne y comenzar a piratear, visite https://hackerone.com/upserve. URL de la publicación original: https://www.hackerone.com/ethical-hacker/upserve-resolves-over-85-bugs-two-years-thanks-hackers