Reposición en la lista de programas para pagar recompensas por vulnerabilidades encontradas (recompensa por errores). Los investigadores de hackers blancos ahora pueden reclamar
hasta $ 10,000 si encuentran vulnerabilidades en las impresoras HP. La compañía anunció el lanzamiento del programa el 31 de agosto y se convirtió en el primer fabricante de impresoras del mundo en pagar errores.
Las vulnerabilidades en impresoras y otros periféricos a menudo son atacadas por piratas informáticos. Si una impresora doméstica es prácticamente inútil para este propósito, en un entorno corporativo, dicho dispositivo generalmente está conectado a una red local y puede usarse como punto de entrada, especialmente si los administradores del sistema no monitorean las actualizaciones de firmware a tiempo. De acuerdo con el
Informe del estado de errores de 2018 de Bugcrowd, en los últimos 12 meses (del 1 de abril de 2017 al 31 de marzo de 2018), el número de errores encontrados aumentó en un 21% en comparación con el año anterior.
El programa HP Vulnerability
Payout se lanza en la plataforma
Bugcrowd , una de varias plataformas donde los piratas informáticos pueden elegir objetivos para ataques, obtener una calificación y recibir recompensas que son muchas veces más altas que los salarios de los desarrolladores contratados. Samsung pagó recientemente la mayor recompensa en la historia de Bugcrowd:
$ 114,000 . Sin embargo, en el sitio de piratas informáticos más grande de Internet, a HackerOne se le paga aún más: incluso algunas pequeñas empresas ofrecen recompensas de hasta $ 200,000 allí, la misma cantidad que Apple da por exploits para el iPhone, que cuestan
hasta $ 1.5 millones en el mercado negro. La búsqueda de vulnerabilidades se ha convertido en un negocio rentable.
En
un comentario de ZDNet, un portavoz de HP dijo: “Desafiamos a los investigadores a buscar defectos desconocidos que puedan usarse contra nuestros clientes. Brindamos a los investigadores acceso remoto a un conjunto de impresoras multifunción corporativas e invitamos a los investigadores a centrarse en posibles acciones maliciosas a nivel de firmware, incluidos CSRF, RCE y XSS ".
Un portavoz de HP agregó que las recompensas se pagarán incluso si la vulnerabilidad identificada fue descubierta previamente por los especialistas de la compañía, pero la información aún no está disponible públicamente. Se alienta a los investigadores a centrarse en las vulnerabilidades en el firmware de la impresora.
El director de seguridad de impresión de HP, Shivaun Albright, dijo: “Durante muchos años, la discusión sobre ciberseguridad se ha centrado en el software y las redes. Hoy, los cibercriminales también se dirigen a dispositivos terminales. La principal preocupación eran los dispositivos conectados, como las impresoras, que se encuentran en el borde de la red ".
HP ejecuta el programa en modo "privado" (
programa privado ). La mayoría de las empresas en la plataforma Bugcrowd prefieren trabajar en este orden, cuando se les pide a los piratas informáticos que no rompan los servicios y dispositivos públicos, sino que trabajen en un entorno controlado. En particular, durante el año pasado, el 79% de todos los nuevos programas fueron privados.
En general, la comunidad de investigadores de hackers blancos que buscan errores y ganan dinero con esto está en constante crecimiento. En Bugcrowd, la comunidad ha crecido un 71% durante el año pasado y ahora representa hackers de 113 países. Los hackers rusos se encuentran entre los líderes en la cantidad de errores encontrados.
En total, se registraron más de 87,700 investigadores, de los cuales casi 4,000 confirmaron su identidad, y alrededor de 7,000 reportaron al menos una vulnerabilidad única. La mayoría de la audiencia de estos sitios son jóvenes, en el mismo Bugcrowd alrededor del 71% de los usuarios de entre 18 y 29 años.
El pago promedio de una vulnerabilidad encontrada es de $ 781, y el primer lugar en el número de pagos lo toman las vulnerabilidades almacenadas Cross-Site Scripting (XSS). Al mismo tiempo, las vulnerabilidades reflejadas de Cross-Site Scripting (XSS) ocupan el primer lugar en el número de informes, pero pertenecen a la tercera clase de peligro (P3), y el pago por tales errores no siempre se proporciona. Pero un hacker puede agregarlo a su activo, indicarlo en su perfil y aumentar su reputación / calificación, lo que también es interesante.
La cantidad total de pagos en Bugcrowd durante el año pasado excedió los $ 6 millones. Más del 81% de este dinero se pagó por piratear sitios. Los errores en hardware, gadgets (6.7%), API (5.8%), Android (3.1%), Internet de las cosas (2.5%) e iOS (0.7%) siguen un amplio margen. .