HP выпускает $ 10,000 Bugy Bounty для принтеров

HP выпускает $ 10,000 Bugy Bounty для принтеров

Общепринятой практикой для компаний является предложить исследователям безопасности и «белой шляпе» хакерскую денежную компенсацию за обнаружение ошибок в их продуктах. Так называемые «багеты» позволяют компании исправлять свои продукты до того, как недостаток станет мишенью для гнусных хакеров. Такие программы используют Google, Apple и многие другие компании. Теперь HP открывает новую программу баунти-ошибок, которая является первой в своем роде - HP хочет, чтобы хакеры проникли в свои принтеры.

Вначале эта концепция кажется глупой, но безопасность принтеров вызвала беспокойство HP. Поскольку HP и другие производители внедряют больше сетевых возможностей и облачных функций, принтеры создают большую поверхность атаки. HP является крупнейшим поставщиком принтеров корпоративного уровня и не хочет устанавливать дыры в офисах по всему миру. Это обычно плохо для бизнеса.

HP выпускает $ 10,000 Bugy Bounty для принтеров
HP выпускает $ 10,000 Bugy Bounty для принтеров

Программа работает на платформе безопасности Bugcrowd, но вы не можете просто присоединиться к ней без приглашения. На данный момент HP выбрала 34 исследователей для участия в программе, но позже она может быть расширена. HP поручил исследователям безопасности искать уязвимости на уровне прошивки, такие как удаленное выполнение кода, подделка запросов на межсайтовый запрос (CSRF) и ошибки межсайтового скриптинга (XSS). В настоящее время награда распространяется на принтеры HP LaserJet Enterprise и принтеры HP PageWide Enterprise Edition.

Некоторые из затронутых принтеров, таких как серия LaserJet Enterprise, начинаются с нескольких сотен долларов и могут достигать нескольких тысяч.
Некоторые из затронутых принтеров, таких как серия LaserJet Enterprise, начинаются с нескольких сотен долларов и могут достигать нескольких тысяч.

Призы варьируются от $ 500 за уязвимость с ограниченным влиянием на 10 000 долларов за серьезную ошибку, которая может поставить под угрозу сеть. Один исследователь или группа может требовать множественные награды, связанные с одной и той же функцией, если они могут показать, что есть другие способы их использования. HP также заплатит, если кто-то сообщит об ошибке, которую HP уже определила внутри страны - она ​​называет это «добросовестным платежом».

Багета ошибок принтера будет работать бесконечно, и HP заявляет, что в будущем она может расширить программу на свои ПК. Он начинается с принтеров, потому что он считает, что угроза была недооценена, поскольку принтеры становятся все более мощными. Многие из этих устройств похожи на легкие компьютеры в своем собственном праве с программируемыми операционными системами и памятью для сохраненных документов (а также вредоносных программ).