التجديد في قائمة البرامج لدفع المكافآت عن الثغرات الموجودة (مكافأة الخطأ). يمكن الآن لباحثو القرصنة البيض المطالبة بما
يصل إلى 10000 دولار إذا اكتشفوا نقاط ضعف في طابعات HP. أعلنت الشركة عن إطلاق البرنامج في 31 أغسطس - وأصبحت أول مصنع للطابعات في العالم يدفع ثمن الأخطاء.
غالبًا ما يتم استهداف نقاط الضعف في الطابعات والأجهزة الطرفية الأخرى من قبل المتسللين. إذا كانت الطابعة المنزلية غير مجدية عمليًا لهذا الغرض ، فعندئذٍ في بيئة الشركة ، عادةً ما يكون هذا الجهاز متصلاً بشبكة محلية ويمكن استخدامه كنقطة دخول ، خاصةً إذا لم يقم مسؤولو النظام بمراقبة تحديثات البرامج الثابتة في الوقت المناسب. وفقًا لتقرير
State Bug Bounty لعام 2018 من Bugcrowd ، على مدار الاثني عشر شهرًا الماضية (من 1 أبريل 2017 إلى 31 مارس 2018) ، زاد عدد الأخطاء التي تم العثور عليها بنسبة 21٪ مقارنة بالعام السابق.
تم إطلاق
برنامج HP Vulnerability
Payout على منصة
Bugcrowd ، وهي واحدة من العديد من المنصات حيث يمكن للمتسللين اختيار أهداف للهجمات ، وكسب تقييم والحصول على مكافآت أعلى بكثير من رواتب المطورين المستأجرين. تم دفع أكبر مكافأة في تاريخ Bugcrowd مؤخرًا بواسطة Samsung -
114000 دولار . ومع ذلك ، يتم دفع HackerOne أكثر على أكبر موقع للقرصنة على الإنترنت: حتى بعض الشركات الصغيرة تقدم مكافآت تصل إلى 200،000 دولار هناك - نفس المبلغ الذي تقدمه شركة Apple لاستغلال iPhone ، والتي تكلف
ما يصل إلى 1.5 مليون دولار في السوق السوداء. أصبح البحث عن نقاط الضعف تجارة مربحة.
في
تعليق ZDNet ، قال متحدث باسم HP: “نحن نتحدى الباحثين للبحث عن عيوب غير معروفة يمكن استخدامها ضد عملائنا. نحن نوفر للباحثين إمكانية الوصول عن بُعد إلى مجموعة من الطابعات متعددة الوظائف للشركات ودعوة الباحثين للتركيز على الإجراءات الخبيثة المحتملة على مستوى البرامج الثابتة ، بما في ذلك CSRF و RCE و XSS ".
وأضاف متحدث باسم HP أنه سيتم دفع المكافآت حتى إذا تم اكتشاف الثغرة المحددة مسبقًا من قبل المتخصصين في الشركة ، ولكن المعلومات ليست متاحة للجمهور بعد. يتم تشجيع الباحثين على التركيز على نقاط الضعف في البرامج الثابتة للطابعة.
قال مدير أمن الطباعة بشركة HP شيفاون أولبرايت: "ركزت مناقشة الأمن السيبراني على البرامج والشبكات لسنوات عديدة. واليوم ، يستهدف مجرمو الإنترنت أيضًا الأجهزة الطرفية. وكان الشاغل الرئيسي هو الأجهزة المتصلة ، مثل الطابعات ، الموجودة على حافة الشبكة ".
تقوم HP بتشغيل البرنامج في وضع "خاص" (
برنامج خاص ). تفضل معظم الشركات على منصة Bugcrowd العمل بهذا الترتيب ، عندما يُطلب من المتسللين عدم كسر الخدمات والأجهزة العامة ، ولكن العمل في بيئة خاضعة للرقابة. على وجه الخصوص ، على مدار العام الماضي ، كانت 79٪ من جميع البرامج الجديدة خاصة.
بشكل عام ، يتزايد باستمرار مجتمع الباحثين من القراصنة البيض الذين يبحثون عن أخطاء ويكسبون المال من هذا. في Bugcrowd ، نما المجتمع بنسبة 71 ٪ خلال العام الماضي ويمثل الآن المتسللين من 113 دولة. القراصنة الروس هم من بين القادة في عدد الأخطاء التي تم العثور عليها.
في المجموع ، تم تسجيل أكثر من 87،700 باحث ، أكد حوالي 4،000 منهم هويتهم ، وأبلغ حوالي 7،000 باحث عن ثغرة فريدة واحدة على الأقل. في الغالب جمهور هذه المواقع من الشباب ، على نفس Bugcrowd حوالي 71 ٪ من المستخدمين الذين تتراوح أعمارهم بين 18-29 سنة.
يبلغ متوسط عائد الثغرة المكتشفة 781 دولارًا ، ويتم أخذ المركز الأول في عدد الدفعات عن طريق الثغرات المخزنة في البرمجة النصية عبر المواقع (XSS). في الوقت نفسه ، تحتل البرامج النصية عبر المواقع (XSS) نقاط الضعف التي تم عكسها المرتبة الأولى في عدد التقارير ، ولكنها تنتمي إلى فئة المخاطر الثالثة (P3) ، ولا يتم دائمًا دفع مثل هذه الأخطاء. ولكن يمكن للمتسلل إضافته إلى أصوله ، والإشارة في ملفه الشخصي وزيادة سمعته / تصنيفه ، وهو أمر مثير للاهتمام أيضًا.
تجاوز إجمالي المبالغ المدفوعة على Bugcrowd خلال العام الماضي 6 ملايين دولار ، وتم دفع أكثر من 81٪ من هذه الأموال لمواقع القرصنة. الأخطاء في الأجهزة والأدوات (6.7٪) وواجهة برمجة التطبيقات (5.8٪) و Android (3.1٪) وإنترنت الأشياء (2.5٪) و iOS (0.7٪) تتبعها إلى حد بعيد. .