Компания HP готова выплачивать до $10 тыс. за нахождение уязвимостей в своих принтерах — таковы условия производителя в рамках объявленной программы bug bounty. Максимальное вознаграждение будет выплачено исследователям за выявление критических багов, позволяющих удаленно выполнить код на устройстве. Менее значимые бреши предполагают премию от $500.

Компания объявила программу стимулирования ИБ-специалистов еще в мае, пригласив на закрытое тестирование своих принтеров 34 эксперта. Сейчас HP готова расширить состав исследователей, однако конкурс по-прежнему является закрытым. Для того чтобы принять участие в bug bounty, нужно получить приглашение и зарегистрироваться на платформе Bugcrowd.

Экспертам предоставляется удаленный доступ к 15 принтерам HP, установленным в офисе компании. За успешный взлом любого из них специалисты получат награду, даже если уязвимость уже была обнаружена командой разработчиков. Производитель планирует сделать программу поиска багов открытой и в дальнейшем включить в нее свою линейку персональных компьютеров.

«Мы предлагаем исследователям найти скрытые дефекты, которые могут быть использованы в кибератаках против наших клиентов, — заявил представитель HP в интервью ZDNet. — Нам бы хотелось, чтобы специалисты сосредоточились на поиске уязвимостей на уровне прошивки, включая CSRF, удаленное выполнение кода и XSS».

Это первая программа bug bounty от HP, нацеленная исключительно на принтеры производителя. Подобное оборудование нередко имеет сетевое подключение и может служить точкой входа злоумышленников в корпоративную систему. Несмотря на то что печатающие устройства являются одними из первых представителей Интернета вещей, их значение для информационной безопасности предприятия часто недооценивают.

В ноябре прошлого года другой производитель оборудования для печати — компания Brother столкнулась с уязвимостью своих принтеров потребительского и корпоративного класса. Брешь была найдена в веб-сервере Debut, встроенном во многие устройства линейки. Как выяснили исследователи, баги в программном обеспечении позволяют добиться DoS-эффекта и на время вывести из строя сервер печати.

В России с апреля 2018 года этичные хакеры могут получить вознаграждение в рамках государственной программы. До 2020 года власти страны планируют потратить 800 млн рублей на выявление уязвимостей в IT-системах, которые используют в органах государственной власти. К поиску багов приглашаются как частные исследователи, так и специализированные организации.

Категории: Главное, Другие темы, Кибероборона