Réapprovisionnement dans la liste des programmes de paiement des récompenses pour les vulnérabilités trouvées (bug bounty). Les chercheurs de hackers blancs peuvent désormais réclamer
jusqu'à 10 000 $ s'ils trouvent des vulnérabilités dans les imprimantes HP. La société a annoncé le lancement du programme le 31 août - et est devenue le premier fabricant d'imprimantes au monde à payer pour les bogues.
Les vulnérabilités des imprimantes et autres périphériques sont souvent ciblées par les pirates. Si une imprimante domestique est pratiquement inutile à cette fin, alors dans un environnement d'entreprise, un tel périphérique est généralement connecté à un réseau local et peut être utilisé comme point d'entrée, surtout si les administrateurs système ne surveillent pas les mises à jour du micrologiciel en temps opportun. Selon le rapport
2018 sur l'état des bogues de Bugcrowd, au cours des 12 derniers mois (du 1er avril 2017 au 31 mars 2018), le nombre de bogues trouvés a augmenté de 21% par rapport à l'année précédente.
Le programme HP Vulnerability
Payout est lancé sur la
plate- forme
Bugcrowd , l'une des nombreuses plates-formes où les pirates peuvent choisir des cibles d'attaques, obtenir une note et recevoir des récompenses qui sont beaucoup plus élevées que les salaires des développeurs embauchés. La plus grande récompense de l'histoire de Bugcrowd a été récemment versée par Samsung -
114 000 $ . Cependant, sur le plus grand site de piratage d'Internet, HackerOne est encore plus payé: même certaines petites entreprises offrent des récompenses allant jusqu'à 200000 $ - le même montant qu'Apple donne pour les exploits pour l'iPhone, qui ont coûté
jusqu'à 1,5 million de
dollars sur le marché noir. La recherche de vulnérabilités est devenue une activité rentable.
Dans
un commentaire sur ZDNet, un porte-parole de HP a déclaré: «Nous mettons les chercheurs au défi de rechercher des défauts inconnus qui pourraient être utilisés contre nos clients. Nous fournissons aux chercheurs un accès à distance à un ensemble d'imprimantes multifonctions d'entreprise et invitons les chercheurs à se concentrer sur les actions malveillantes potentielles au niveau du micrologiciel, y compris CSRF, RCE et XSS. »
Un porte-parole de HP a ajouté que des récompenses seront payées même si la vulnérabilité identifiée a été découverte précédemment par les spécialistes de l'entreprise, mais les informations ne sont pas encore disponibles publiquement. Les chercheurs sont encouragés à se concentrer sur les vulnérabilités du micrologiciel de l'imprimante.
Shivaun Albright, directrice de la sécurité d'impression HP, a déclaré: «Pendant de nombreuses années, la discussion sur la cybersécurité s'est concentrée sur les logiciels et les réseaux. Aujourd'hui, les cybercriminels ciblent également les terminaux. La préoccupation primordiale était les appareils connectés, tels que les imprimantes, qui sont situés à la périphérie du réseau. »
HP exécute le programme en mode "privé" (
programme privé ). La plupart des entreprises sur la plate-forme Bugcrowd préfèrent travailler dans cet ordre, lorsque les pirates sont invités à ne pas casser les services et appareils publics, mais à travailler dans un environnement contrôlé. En particulier, au cours de la dernière année, 79% de tous les nouveaux programmes étaient privés.
En général, la communauté des chercheurs de hackers blancs qui recherchent des bogues et font de l'argent avec cela ne cesse de croître. Chez Bugcrowd, la communauté a augmenté de 71% au cours de la dernière année et représente maintenant des pirates de 113 pays. Les pirates russes sont parmi les leaders du nombre de bugs trouvés.
Au total, plus de 87 700 chercheurs ont été enregistrés, dont près de 4 000 ont confirmé leur identité, et environ 7 000 ont signalé au moins une vulnérabilité unique. La plupart du temps, l'audience de ces sites est composée de jeunes, sur le même Bugcrowd, environ 71% des utilisateurs âgés de 18 à 29 ans.
Le paiement moyen pour une vulnérabilité trouvée est de 781 $, et la première place dans le nombre de paiements est prise par les vulnérabilités stockées Cross-Site Scripting (XSS). Dans le même temps, les vulnérabilités Cross-Site Scripting (XSS) Reflected se classent au premier rang du nombre de rapports, mais elles appartiennent à la troisième classe de danger (P3), et le paiement de ces bogues n'est pas toujours fourni. Mais un pirate peut l'ajouter à son actif, l'indiquer dans son profil et augmenter sa réputation / note, ce qui est également intéressant.
Le montant total des paiements sur Bugcrowd au cours de la dernière année a dépassé 6 millions de dollars, dont plus de 81% ont été payés pour des sites de piratage. Les bogues dans le matériel, les gadgets (6,7%), l'API (5,8%), Android (3,1%), l'Internet des objets (2,5%) et iOS (0,7%) sont suivis d'une large marge. .