Pengisian dalam daftar program untuk membayar kompensasi untuk kerentanan ditemukan (bug bug). Peneliti hacker kulit putih sekarang dapat mengklaim
hingga $ 10.000 jika mereka menemukan kerentanan pada printer HP. Perusahaan mengumumkan peluncuran program pada 31 Agustus - dan menjadi produsen printer pertama di dunia yang membayar bug.
Kerentanan pada printer dan periferal lain sering ditargetkan oleh peretas. Jika printer rumahan praktis tidak berguna untuk tujuan ini, maka dalam lingkungan perusahaan, perangkat seperti itu biasanya terhubung ke jaringan lokal dan dapat digunakan sebagai titik masuk, terutama jika administrator sistem tidak memantau pembaruan firmware yang tepat waktu. Menurut
Laporan State of Bug Bounty 2018 dari Bugcrowd, selama 12 bulan terakhir (dari 1 April 2017 hingga 31 Maret 2018), jumlah bug yang ditemukan meningkat sebesar 21% dibandingkan tahun sebelumnya.
Program
Pembayaran Kerentanan HP diluncurkan pada platform
Bugcrowd , salah satu dari beberapa platform di mana peretas dapat memilih target untuk serangan, mendapatkan peringkat dan menerima hadiah yang berkali-kali lebih tinggi daripada gaji pengembang yang disewa. Hadiah terbesar dalam sejarah Bugcrowd baru-baru ini dibayarkan oleh Samsung -
$ 114.000 . Namun, HackerOne dibayar lebih banyak lagi di situs peretas Internet terbesar: bahkan beberapa perusahaan kecil menawarkan hadiah hingga $ 200.000 di sana - jumlah yang sama yang Apple berikan untuk eksploitasi iPhone, yang harganya
hingga $ 1,5 juta di pasar gelap. Mencari kerentanan telah menjadi bisnis yang menguntungkan.
Dalam
komentar ZDNet, juru bicara HP mengatakan: "Kami menantang para peneliti untuk mencari cacat yang tidak diketahui yang dapat digunakan terhadap pelanggan kami. Kami memberi para peneliti akses jarak jauh ke serangkaian printer multifungsi perusahaan dan mengundang para peneliti untuk fokus pada tindakan berbahaya potensial di tingkat firmware, termasuk CSRF, RCE dan XSS. "
Seorang juru bicara HP menambahkan bahwa hadiah akan dibayarkan meskipun kerentanan yang diidentifikasi sebelumnya ditemukan oleh spesialis perusahaan, tetapi informasi tersebut belum tersedia untuk umum. Para peneliti didorong untuk fokus pada kerentanan dalam firmware printer.
Direktur keamanan cetak HP, Shivaun Albright mengatakan: βSelama bertahun-tahun, diskusi tentang keamanan siber berfokus pada perangkat lunak dan jaringan. Saat ini, penjahat cyber juga menargetkan perangkat terminal. Perhatian terpenting adalah perangkat yang terhubung, seperti printer, yang terletak di tepi jaringan. "
HP menjalankan program dalam mode "pribadi" (
program pribadi ). Sebagian besar perusahaan di platform Bugcrowd lebih suka bekerja dalam urutan ini, ketika peretas diminta untuk tidak merusak layanan dan perangkat publik, tetapi untuk bekerja di lingkungan yang terkendali. Secara khusus, selama setahun terakhir, 79% dari semua program baru bersifat pribadi.
Secara umum, komunitas peneliti peretas putih yang mencari bug dan menghasilkan uang dengan ini terus tumbuh. Di Bugcrowd, komunitas telah tumbuh 71% selama setahun terakhir dan sekarang mewakili peretas dari 113 negara. Peretas Rusia adalah salah satu pemimpin dalam jumlah bug yang ditemukan.
Secara total, lebih dari 87.700 peneliti terdaftar, yang hampir 4.000 mengkonfirmasi identitas mereka, dan sekitar 7.000 melaporkan setidaknya satu kerentanan unik. Sebagian besar pemirsa situs-situs ini adalah kaum muda, di Bugcrowd yang sama sekitar 71% pengguna berusia 18-29 tahun.
Pembayaran rata-rata untuk kerentanan yang ditemukan adalah $ 781, dan tempat pertama dalam jumlah pembayaran diambil oleh Kerentanan Tersimpan Lintas Situs (XSS). Pada saat yang sama, Cross-Site Scripting (XSS) Refleksi kerentanan menempati peringkat pertama dalam jumlah laporan, tetapi mereka termasuk dalam kelas bahaya ketiga (P3), dan pembayaran untuk bug semacam itu tidak selalu disediakan. Tetapi seorang hacker dapat menambahkannya ke asetnya, menunjukkan di profilnya dan meningkatkan reputasinya, yang juga menarik.
Jumlah total pembayaran di Bugcrowd selama setahun terakhir melebihi $ 6 juta. Lebih dari 81% dari uang ini dibayarkan untuk peretasan situs. Bug dalam perangkat keras, gadget (6,7%), API (5,8%), Android (3,1%), Internet of things (2,5%), dan iOS (0,7%) diikuti oleh margin yang lebar. .