Reabastecimento na lista de programas para pagamento de recompensas por vulnerabilidades encontradas (recompensa de bug). Os pesquisadores de hackers brancos agora podem reivindicar
até US $ 10.000 se encontrarem vulnerabilidades nas impressoras HP. A empresa anunciou o lançamento do programa em 31 de agosto - e se tornou o primeiro fabricante de impressoras do mundo a pagar por bugs.
Vulnerabilidades em impressoras e outros periféricos são frequentemente alvo de hackers. Se uma impressora doméstica é praticamente inútil para esse fim, em um ambiente corporativo, esse dispositivo geralmente está conectado a uma rede local e pode ser usado como ponto de entrada, especialmente se os administradores de sistema não monitorarem atualizações de firmware oportunas. De acordo com o
relatório State of Bug Bounty 2018 da Bugcrowd, nos últimos 12 meses (de 1 de abril de 2017 a 31 de março de 2018), o número de bugs encontrados aumentou 21% em relação ao ano anterior.
O programa HP Vulnerability
Payout é lançado na plataforma
Bugcrowd , uma das várias plataformas em que os hackers podem escolher alvos para ataques, obter uma classificação e receber recompensas muitas vezes superiores aos salários dos desenvolvedores contratados. A maior recompensa na história do Bugcrowd foi recentemente paga pela Samsung -
US $ 114.000 . No entanto, o HackerOne é pago ainda mais no maior site de hackers da Internet: até algumas pequenas empresas oferecem recompensas de até US $ 200.000 - a mesma quantia que a Apple concede para explorar o iPhone, que custa
US $ 1,5 milhão no mercado negro. A busca por vulnerabilidades se tornou um negócio lucrativo.
Em
um comentário do ZDNet, um porta-voz da HP disse: “Desafiamos os pesquisadores a procurar defeitos desconhecidos que poderiam ser usados contra nossos clientes. Fornecemos aos pesquisadores acesso remoto a um conjunto de impressoras multifuncionais corporativas e convidamos os pesquisadores a se concentrarem em possíveis ações maliciosas no nível do firmware, incluindo CSRF, RCE e XSS. ”
Um porta-voz da HP acrescentou que as recompensas serão pagas mesmo que a vulnerabilidade identificada tenha sido descoberta anteriormente pelos especialistas da empresa, mas as informações ainda não estão disponíveis ao público. Os pesquisadores são incentivados a se concentrar nas vulnerabilidades no firmware da impressora.
O diretor de segurança de impressão da HP, Shivaun Albright, disse: “Por muitos anos, a discussão sobre segurança cibernética se concentrou em software e redes. Hoje, os cibercriminosos também têm como alvo dispositivos terminais. A principal preocupação eram os dispositivos conectados, como impressoras, localizados na borda da rede. ”
A HP executa o programa no modo "privado" (
programa privado ). A maioria das empresas na plataforma Bugcrowd prefere trabalhar nessa ordem, quando os hackers são solicitados a não interromper serviços e dispositivos públicos, mas a trabalhar em um ambiente controlado. Em particular, durante o ano passado, 79% de todos os novos programas eram privados.
Em geral, a comunidade de pesquisadores de hackers brancos que procuram bugs e ganham dinheiro com isso está em constante crescimento. No Bugcrowd, a comunidade cresceu 71% no ano passado e agora representa hackers de 113 países. Os hackers russos estão entre os líderes no número de bugs encontrados.
No total, mais de 87.700 pesquisadores foram registrados, dos quais quase 4.000 confirmaram sua identidade e cerca de 7.000 relataram pelo menos uma vulnerabilidade única. Principalmente, o público desses sites é formado por jovens, com o mesmo bugcrowd cerca de 71% dos usuários entre 18 e 29 anos.
O pagamento médio para uma vulnerabilidade encontrada é de US $ 781, e o primeiro lugar no número de pagamentos é obtido pelas vulnerabilidades armazenadas em Cross-Site Scripting (XSS). Ao mesmo tempo, as vulnerabilidades refletidas no script entre sites (XSS) são as primeiras no número de relatórios, mas pertencem à terceira classe de perigo (P3), e o pagamento por esses erros nem sempre é fornecido. Mas um hacker pode adicioná-lo ao seu patrimônio, indicar em seu perfil e aumentar sua reputação / classificação, o que também é interessante.
O valor total dos pagamentos do Bugcrowd no ano passado excedeu US $ 6 milhões, e mais de 81% desse dinheiro foi pago por sites de hackers. Erros de hardware, gadgets (6,7%), API (5,8%), Android (3,1%), Internet das coisas (2,5%) e iOS (0,7%) seguem de longe. .