Nachschub in der Liste der Programme zum Bezahlen von Belohnungen für gefundene Schwachstellen (Bug Bounty). Forscher von weißen Hackern können jetzt
bis zu 10.000 US-Dollar beanspruchen
, wenn sie Schwachstellen in HP Druckern finden. Das Unternehmen gab den Start des Programms am 31. August bekannt - und war der erste Druckerhersteller der Welt, der für Fehler bezahlte.
Sicherheitslücken in Druckern und anderen Peripheriegeräten werden häufig von Hackern angegriffen. Wenn ein Heimdrucker für diesen Zweck praktisch unbrauchbar ist, ist ein solches Gerät in einer Unternehmensumgebung normalerweise mit einem lokalen Netzwerk verbunden und kann als Einstiegspunkt verwendet werden, insbesondere wenn Systemadministratoren keine zeitnahen Firmware-Updates überwachen. Laut dem
State of Bug Bounty Report 2018 von Bugcrowd stieg die Anzahl der gefundenen Bugs in den letzten 12 Monaten (vom 1. April 2017 bis zum 31. März 2018) gegenüber dem Vorjahr um 21%.
Das HP Vulnerability
Payout-Programm wird auf der
Bugcrowd- Plattform gestartet, einer von mehreren Plattformen, auf denen Hacker Ziele für Angriffe auswählen, eine Bewertung erhalten und Belohnungen erhalten können, die um ein Vielfaches höher sind als die Gehälter der angeheuerten Entwickler. Die größte Belohnung in der Geschichte von Bugcrowd wurde kürzlich von Samsung gezahlt -
114.000 US-Dollar . Auf der größten Hacker-Website des Internets wird HackerOne jedoch noch mehr bezahlt: Selbst einige kleine Unternehmen bieten dort Prämien von bis zu 200.000 US-Dollar an - der gleiche Betrag, den Apple für Exploits für das iPhone bereitstellt, die auf dem Schwarzmarkt
bis zu 1,5 Millionen US-Dollar kosten. Die Suche nach Schwachstellen ist zu einem profitablen Geschäft geworden.
In
einem ZDNet-
Kommentar sagte ein HP-Sprecher: „Wir fordern Forscher auf, nach unbekannten Fehlern zu suchen, die gegen unsere Kunden verwendet werden könnten. Wir bieten Forschern Fernzugriff auf eine Reihe von Multifunktionsdruckern für Unternehmen und laden Forscher ein, sich auf potenzielle böswillige Aktionen auf Firmware-Ebene zu konzentrieren, einschließlich CSRF, RCE und XSS. “
Ein HP-Sprecher fügte hinzu, dass Belohnungen auch dann ausgezahlt werden, wenn die identifizierte Sicherheitslücke zuvor von den Spezialisten des Unternehmens entdeckt wurde, die Informationen jedoch noch nicht öffentlich verfügbar sind. Die Forscher werden aufgefordert, sich auf Schwachstellen in der Druckerfirmware zu konzentrieren.
Shivaun Albright, Direktor für HP Drucksicherheit, sagte: „Seit vielen Jahren konzentriert sich die Diskussion über Cybersicherheit auf Software und Netzwerke. Heute zielen Cyberkriminelle auch auf Endgeräte ab. Das Hauptanliegen waren angeschlossene Geräte wie Drucker, die sich am Rand des Netzwerks befinden. “
HP führt das Programm in einem "privaten" Modus (
privates Programm ) aus. Die meisten Unternehmen auf der Bugcrowd-Plattform bevorzugen es, in dieser Reihenfolge zu arbeiten, wenn Hacker aufgefordert werden, öffentliche Dienste und Geräte nicht zu beschädigen, sondern in einer kontrollierten Umgebung zu arbeiten. Insbesondere im vergangenen Jahr waren 79% aller neuen Programme privat.
Im Allgemeinen wächst die Gemeinschaft der weißen Hackerforscher, die nach Fehlern suchen und damit Geld verdienen, ständig. Bei Bugcrowd ist die Community im letzten Jahr um 71% gewachsen und vertritt jetzt Hacker aus 113 Ländern. Russische Hacker sind führend in Bezug auf die Anzahl der gefundenen Bugs.
Insgesamt wurden mehr als 87.700 Forscher registriert, von denen fast 4.000 ihre Identität bestätigten, und etwa 7.000 meldeten mindestens eine eindeutige Sicherheitsanfälligkeit. Das Publikum dieser Websites sind hauptsächlich junge Leute, in derselben Bugcrowd etwa 71% der Benutzer im Alter von 18 bis 29 Jahren.
Die durchschnittliche Auszahlung für eine gefundene Sicherheitsanfälligkeit beträgt 781 US-Dollar, und der erste Platz in der Anzahl der Zahlungen wird von gespeicherten Cross-Site Scripting-Sicherheitsanfälligkeiten (XSS) belegt. Gleichzeitig stehen Cross-Site Scripting (XSS) Reflected-Schwachstellen in der Anzahl der Berichte an erster Stelle, gehören jedoch zur dritten Gefahrenklasse (P3), und die Bezahlung solcher Fehler wird nicht immer bereitgestellt. Aber ein Hacker kann es seinem Vermögen hinzufügen, in seinem Profil angeben und seinen Ruf / seine Bewertung erhöhen, was ebenfalls interessant ist.
Der Gesamtbetrag der Zahlungen auf Bugcrowd im vergangenen Jahr überstieg 6 Millionen US-Dollar. Mehr als 81% dieses Geldes wurden für Hacking-Sites gezahlt. Fehler in Hardware, Gadgets (6,7%), API (5,8%), Android (3,1%), Internet der Dinge (2,5%) und iOS (0,7%) folgen bei weitem. .