程序列表中的补给,用于为发现的漏洞(错误赏金)提供奖励。 如果白人黑客研究人员发现HP打印机中的漏洞,现在
最多可以索赔
10,000美元 。 该公司于8月31日宣布启动该程序-并成为世界上第一家支付错误费用的打印机制造商。
打印机和其他外围设备中的漏洞通常是黑客的目标。 如果家用打印机实际上对于此目的无用,则在公司环境中,此类设备通常连接到局域网,并且可以用作入口点,尤其是在系统管理员未及时监控固件更新的情况下。 根据Bugcrowd发出的
2018年Bug赏金状况报告 ,过去12个月(从2017年4月1日到2018年3月31日),发现的bug数量比上一年增加了21%。
HP Vulnerability
Payout程序是在
Bugcrowd平台上启动的,
Bugcrowd平台是黑客可以选择攻击目标,获得评级并获得比聘用开发人员的薪水高很多倍的奖励的几个平台之一。 Bugcrowd历史上最大的奖励是最近由三星支付的-114,000
美元 。 但是,在最大的互联网黑客网站上,HackerOne的薪水更高:即使是一些小公司,在那里也能获得高达200,000美元的报酬-与苹果为iPhone漏洞提供的报酬相同,在黑市上的报酬高达
150万美元 。 搜索漏洞已成为一项有利可图的业务。
惠普发言人在ZDNet
评论中说:“我们向研究人员提出挑战,要求他们寻找可能会危害客户的未知缺陷。 我们为研究人员提供了对一组公司多功能打印机的远程访问权限,并邀请研究人员在固件级别上关注潜在的恶意行为,包括CSRF,RCE和XSS。”
惠普发言人补充说,即使已确定的漏洞先前是由公司专家发现的,也将获得奖励,但该信息尚未公开。 鼓励研究人员专注于打印机固件中的漏洞。
惠普打印安全总监Shivaun Albright表示:“多年来,网络安全的讨论一直集中在软件和网络上。 如今,网络犯罪分子还以终端设备为目标。 最重要的是位于网络边缘的已连接设备,例如打印机。”
HP以“私有”模式运行该程序(
私有程序 )。 当要求黑客不要破坏公共服务和设备,而是要在可控的环境中工作时,Bugcrowd平台上的大多数公司都喜欢按此顺序工作。 特别是在过去的一年中,所有新计划中有79%是私有的。
通常,正在寻找漏洞并以此赚钱的白人黑客研究人员社区正在不断增长。 在Bugcrowd,该社区在过去一年中增长了71%,现在代表来自113个国家/地区的黑客。 在发现的错误数量中,俄罗斯黑客位居领导者之列。
总共注册了87,700多名研究人员,其中近4,000名确认了他们的身份,大约7,000名报告了至少一个独特的漏洞。 这些网站的受众大多数是年轻人,在同一Bugcrowd上,年龄在18-29岁之间的用户约占71%。
一个发现的漏洞的平均支出为781美元,并且在支付数量中排名第一的是跨站点脚本(XSS)存储的漏洞。 同时,“跨站点脚本(XSS)反映的漏洞”在报告数量中排名第一,但它们属于第三类危险(P3),因此并不总是提供此类bug的付款。 但是,黑客可以将其添加到自己的资产中,在个人资料中指明并增加其声誉/等级,这也很有趣。
在过去一年中,向Bugcrowd支付的总金额超过600万美元,其中超过81%用于黑客网站。 到目前为止,硬件,小工具(6.7%),API(5.8%),Android(3.1%),物联网(2.5%)和iOS(0.7%)中的错误是紧随其后的。 。