El bug bounty es algo habitual en los grandes grupos. En el seno de SNCF Connect&Tech, la filial de SNCF Voyageurs especializada en la prestación de múltiples servicios digitales (agencia de viajes, venta de billetes, reservas de transporte, etc.), existe desde hace 6 años en modo privado operado por el proveedor francés YesWeHack. Desde su creación, se han movilizado 300 investigadores para encontrar fallos de seguridad en sus servicios, pero ahora el grupo va más allá al Abre su programa de búsqueda de errores al público. "Desde hace 6 años se han añadido funciones con un ritmo de un lanzamiento de producción por semana "Hemos trabajado mucho para avanzar hacia devsecops, modernizar nuestras aplicaciones, pasar a la nube, pero ahora estamos dando un paso para buscar aún más investigadores especializados en tecnología y funcionalidad", explicó Francis Bergey, RSSI de SNCF Connect&Tech.

El planteamiento de la filial del grupo de transporte de pasajeros también es oportunista, en un momento en el que se inauguran los Juegos Olímpicos de París 2024 en unos meses y las agencias de seguridad y organismos de todo tipo (Anssi, Clusif, etc.) aumentan sus alertas sobre los crecientes riesgos en materia de ciberamenazas. El programa público de bug bounty de SNCF Connect&Tech estará abierto durante 3 meses, hasta finales de junio de 2024, antes de ser cerrado -a priori temporalmente- durante el periodo de los Juegos. "Abrir el bug bounty al público nos permitirá estar seguros de que estamos a la altura y analizar la seguridad desde todos los ángulos", continúa Francis Bergey. "Es muy interesante realizar esta prueba a gran escala antes de los Juegos Olímpicos".

Francisco Bergey

"Hemos trabajado mucho con YesWeHack para ser justos con los investigadores y compensarlos adecuadamente por los errores encontrados", afirma Francis Bergey, RSSI de SNCF Connect&Tech, sobre el lanzamiento del programa de recompensas por errores. (crédito: DF)

Hasta 10.000€ para los fallos más críticos

Con este programa, SNCF Connect&Tech espera sacar a la luz los fallos que puedan perturbar con mayor probabilidad sus servicios y aplicaciones para probar continuamente sus lanzamientos semanales.Esto nos permite apelar a la inteligencia colectiva, ampliar el alcance de posibilidades y los ángulos de investigación de las vulnerabilidades potenciales reevaluar continuamente los nuevos desarrollos", asegura Francis Bergey. En cuanto a los perfiles de las personas seleccionadas para la búsqueda de vulnerabilidades, SNCF Connect&Tech cuenta con la experiencia de YesWeHack para supervisar su programa, tanto en términos técnicos como legales.

En cuanto a las vulnerabilidades que se denunciarán, el grupo precisa que se excluyen los ataques de denegación de servicio, así como los que implican la recuperación de identificadores (login/contraseñas) de la dark web. "Realmente trabajamos con YesWeHack para ser justos con los investigadores y pagarles bien por las vulnerabilidades encontradas", afirma Francis Bergey. Así, para aquellos que conduzcan a la toma de control total o parcial de uno de sus sitios o a la extracción masiva de datos personales, la remuneración alcanzará los 10.000 euros. A continuación, se prevén varios niveles (500 euros, 2.000 euros, etc.) en función de la criticidad de las vulnerabilidades presentadas. "Reevaluamos sistemáticamente las vulnerabilidades de seguridad denunciadas por los investigadores. Si las vulnerabilidades nos permiten ir un paso más allá, les pagaremos más y viceversa, sobre todo si medidas adicionales invisibles desde el exterior nos permiten limitar su alcance".