A HP lançou na terça-feira um programa de recompensas de bugs (bug bounty), com pagamento máximo de US$ 10.000 por vulnerabilidade.
A empresa, que fez parceria com a Bugcrowd para oferecer entre US$ 500 e US$ 10.000 por descobertas de bugs, disse que marca o primeiro programa de recompensa de bugs para impressoras.
“A HP oferece aos pesquisadores uma maneira de divulgar bugs à nossa equipe por um longo tempo”, disse Shivaun Albright, chief technologist of print security da HP. “Este é o nosso primeiro programa de recompensas de bugs, e a primeira recompensa específica para impressora do mundo a ser gerenciada por uma parte externa”.
A empresa disse ao Threatpost que está procurando por defeitos obscuros que possam ser usados contra seus clientes. A HP informou que se concentrará especificamente em possíveis ações maliciosas a nível de firmware, que inclui CSRF, RCE e XSS.
Bugcrowd e HP estão avaliando cada divulgação e recompensando os pesquisadores com base na gravidade da potencial vulnerabilidade (variando de US$ 500 a US$ 10.000), disse a HP. Os pesquisadores serão convidados para o programa.
As impressoras qualificadas incluem a linha de classe empresarial HP PageWide, HP Color LaserJet e vários modelos de multifuncionais (formatos A3 e A4).
“Os adversários evoluíram drasticamente e a sofisticação do ataque está aumentando”, disse Albright ao Threatpost. “Estamos aconselhando os clientes a considerar o desafio da segurança cibernética como uma questão de ‘se’, em vez de ‘quando’ um ator malicioso terá êxito.”
De acordo com as diretrizes do programa, as vulnerabilidades encontradas pelos pesquisadores no programa privado precisam ser relatadas ao Bugcrowd. Em caso de report de uma vulnerabilidade descoberta anteriormente pela HP, ela será avaliada e uma recompensa pode ser oferecida aos pesquisadores como um pagamento por boa fé.
Enquanto isso, a Bugcrowd irá verificar os bugs e recompensar os pesquisadores com base na gravidade da falha. Um guia de divulgação é oferecido aos convidados para o programa.
A HP disse que seu programa de recompensas de bugs será executado indefinidamente, mas a empresa planeja estendê-lo para sua linha de PCs.
Ameaças crescem de forma exponencial
Vulnerabilidades em impressoras são uma ameaça crescente. De acordo com um relatório recente da Bugcrowd, os principais atacantes emergentes estão focados em dispositivos endpoint – e o total de vulnerabilidades de impressoras em todo o setor aumentou 21% durante o ano passado.
Essa categoria de ameaça também foi refletida nas impressoras HP, que ao longo dos anos provaram ser responsabilidades significativas na empresa. No ano passado, a HP corrigiu dezenas de modelos de impressoras para uma vulnerabilidade de execução arbitrária de código. Também no ano passado, os pesquisadores descobriram seis falhas em modelos populares de impressoras – incluindo as fabricadas pela HP – permitindo que invasores roubassem trabalhos de impressão e conduzissem ataques de buffer overflow.
“À medida que navegamos em um mundo cada vez mais complexo em termos de ameaças cibernéticas, é fundamental que os líderes do setor aproveitem todos os recursos possíveis para fornecer segurança confiável e resiliente a partir do firmware”, disse Albright. “A HP está comprometida em projetar as impressoras mais seguras do mundo”.
.
.
Publicado originalmente no ThreatPost em 31 de julho de 2018.
Este conteúdo foi traduzido com permissão. ThreatPost não é afiliado com este site.
Autor: Lindsey O’Donnell
Tradução por Tiago Souza
Imagem deste post: pixabay
.
1 comentários SobreHP pagará até US$ 10.000 por bugs em impressoras
Pingback: Perigos e vulnerabilidades em impressoras - Tiago Souza ()