Главная » Хабрахабр » HP платит до $10 000 за баги в принтерах, хакерам дают удалённый доступ

HP платит до $10 000 за баги в принтерах, хакерам дают удалённый доступ

Пополнение в списке программ выплаты вознаграждений за найденные уязвимости (bug bounty). Теперь белые хакеры-исследователи могут претендовать на получение до $10 000, если найдут уязвимости в принтерах HP. Компания объявила о запуске программы 31 августа — и стала первым в мире производителем принтеров, который будет платить за баги.

Если домашний принтер для этой цели практически бесполезен, то в корпоративной среде такое устройство обычно подключено к локальной сети и может использоваться как точка входа, особенно если системные администраторы не следят за своевременным обновлением прошивок. Уязвимости в принтерах и других периферийных устройствах часто становятся мишенью для хакеров. по 31 марта 2018 г.) количество найденных багов выросло на 21% по сравнению с предыдущим годом.
Программа выплаты за уязвимости HP запущена на платформе Bugcrowd — одной из нескольких платформ, где хакеры могут выбирать мишени для атаки, зарабатывать себе рейтинг и получать вознаграждение, которое во много раз превышает зарплаты разработчиков, работающих по найму. Согласно отчёту 2018 State of Bug Bounty Report от Bugcrowd, за последние 12 месяцев (с 1 апреля 2017 г. Впрочем, на самой крупной в интернете хакерской площадке HackerOne платят ещё больше: даже некоторые небольшие фирмы там предлагают вознаграждения до $200 000 — столько же, сколько даёт Apple за эксплойты для iPhone, которые на чёрном рынке стоят до $1,5 млн. Самое большое вознаграждение в истории Bugcrowd недавно выплатила компания Samsung — $114 000. Поиск уязвимостей стал выгодным делом.

Мы предоставляем исследователям удалённый доступ к набору корпоративных многофункциональных принтеров и приглашаем исследователей сосредоточиться на потенциальных вредоносных действиях на уровне встроенного программного обеспечения, включая CSRF, RCE и XSS». В комментарии ZDNet представитель HP сказал: «Мы бросаем вызов исследователям в поиске неизвестных дефектов, которые могут быть использованы против наших клиентов.

Исследователям предлагают сосредоточиться на уязвимостях в прошивках принтеров (firmware). Представитель HP добавил, что вознаграждения будут выплачиваться даже в том случае, если выявленная уязвимость уже была ранее обнаружена специалистами компании, но информации ещё нет в открытом доступе.

Сегодня злоумышленники также ориентируются на оконечные устройства. Директор HP по безопасности печати Шиваун Олбрайт (Shivaun Albright) сказал: «В течение многих лет обсуждение кибербезопасности было сосредоточено на программном обеспечении и сетях. Первостепенной задачей стала подключенных устройств, таких как принтеры, которые находятся на границе сети».

Большинство компаний на платформе Bugcrowd предпочитают работать именно в таком порядке, когда хакеров просят не ломать общедоступные сервисы и устройства, а работать в контролируемом окружении. HP запускает программу в «приватном» режиме (private program). В частности, за последний год 79% всех новых программ были приватными.

На Bugcrowd за прошлый год сообщество выросло на 71% и теперь представляет хакеров из 113 стран. Вообще, сообщество белых хакеров-исследователей, которые ищут баги и зарабатывают этим, постоянно растёт. Российские хакеры входят в число лидеров по количеству найденных багов.

В основном аудитория этих сайтов — молодёжь, на том же Bugcrowd около 71% пользователей в возрасте 18−29 лет. Всего зарегистрировано более 87 700 исследователей, из них почти 4000 подтвердили свою личность, а около 7000 сообщили как минимум об одной уникальной уязвимости.

В то же время по количеству отчётов первое место у уязвимостей Cross-Site Scripting (XSS) Reflected, но они относятся к третьему классу опасности (P3), а по таким багам оплата не всегда предусмотрена. Средняя выплата за найденную уязвимость составляет $781, а первое место по количеству выплат занимают уязвимости типа Cross-Site Scripting (XSS) Stored. Но хакер может занести её в свой актив, указать в профиле и повысить репутацию/рейтинг, что тоже интересно.

Более 81% этих денег выплачено за взлом сайтов. Общая сумма выплат на Bugcrowd за последний год превысила $6 млн. С большим отрывом следуют баги в аппаратном обеспечении, гаджетах (6,7%), API (5,8%), Android (3,1%), устройствах интернета вещей (2,5%) и iOS (0,7%).


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

Android Things перефокусируется на умные колонки и дисплеи

Тогда заявлялось, что эта платформа поддерживает разработку под Android, создатели собирались постепенно добавлять новые устройства, включая ntel Joule 570x, NXP Argon i. В конце 2016 года корпорация Google представила обновленную платформу для интернета вещей, которая получила название Android Things. MX6UL ...

Важные изменения в работе CTE в PostgreSQL 12

WITH w AS NOT MATERIALIZED ( SELECT * FROM very_very_big_table ) SELECT * FROM w AS w1 JOIN w AS w2 ON w1.key = w2.ref WHERE w2.key = 123; Сегодня в репозиторий PostgreSQL упал комит, позволяющий управлять поведением обработки подзапросов ...