НР заплатит $10 тысяч за баг в системе принтеров

Компания НР во вторник пригласила хакеров для обнаружения ошибок в системе принтеров компании, имеющие доступ к интернету, сообщает ONLINE.UA со ссылкой на информационный сайт CNET.

Вознаграждение - $10 тыс. К сотрудничеству было привлечено 34 хакера-исследователя.

Компания уже выплатила первые $10 тыс. за обнаружение ошибки в программном обеспечении принтеров, об этом сообщила главный эксперт по безопасности принтеров Шиваун Олбрайт (Shivaun Albright).

По ее словам, компания ориентирована на безопасность принтеров из-за уязвимости интернет-устройств. Олбрайт отмечает, что на подключенных к сети интернет устройствах много внимания уделяется безопасности веб-камер и смарт-телевизоров, а не принтеров. Но принтеры одни из самых старых и самых распостранненых из устройств IoT, которыми обладает человек, отметила технолог НР.

"Они существуют в течение длительного времени, задолго до появления термина IoT ", - говорит она. "Проблема в том, почему клиенты не рассматривают принтеры как IoT? Это в первую очередь говорит о их уязвимости к хакерским атакам".

Это касается в первую очередь корпоративных устройств, которые подключены к локальной сети и могут использоваться как точка входа, особенно, если системные администраторы не следят за своевременным обновлением прошивок.

В комментарии электронному изданию ZDNet представитель НP отметил: "Мы бросаем вызов исследователям в поиске неизвестных дефектов, которые могут быть использованы против наших клиентов. Мы предлагаем исследователям удаленный доступ к набору корпоративных многофункциональных принтеров и приглашаем исследователей сосредоточиться на потенциально вредных действиях на уровне программного обеспечения, включая CSRF, RCE и XSS".

Компания НР запустила программу выплат за обнаружение уязвимости на платформе Bugcrowd - одной из нескольких платформ, на которых хакеры могут выбирать мишени для атаки, зарабатывать себе рейтинг и получать вознаграждение. Чаще всего, вознаграждение в несколько раз превышает заработную плату разработчиков, работающих по найму.

Программа Bug Bounty - распространенный способ для крупных компаний, таких как Google и Facebook, выявлять ошибки в системе безопасности. Хакеры могут найти и сообщить об ошибках задолго до того, как их начнут использовать в злонамеренных целях.

Согласно отчету 2018 года State of Bug Bounty Report от Bugcrowd, за последние 12 месяцев (с 1 апреля 2017 года по 31 марта 2018 года) количество найденных багов выросло на 21% по сравнению с предыдущим годом.