信息來源:hackernews
周二�����,惠普宣布了第一個專門針對其打印機的bug賞金計劃,為能夠在其機器上發(fā)現(xiàn)漏洞的黑客提供高達1萬美元的獎勵�。Bug賞金是公司發(fā)現(xiàn)安全漏洞的常見方式,對于嚴重漏洞酬金支付可高達10萬美元�。在惡意使用漏洞之前,黑客已經(jīng)能夠在大公司獲得一個全職工作來軟件并報告錯誤�。像谷歌和Facebook這樣的公司已經(jīng)將漏洞獎金作為加強其產(chǎn)品安全性的一種方式。
惠普在5月份悄然啟動了計劃���,有34名研究人員報名參加��。該公司負責打印機安全的首席技術專家Shivaun Albright上周接受采訪時說�����,它已經(jīng)向一名發(fā)現(xiàn)其打印機存在嚴重缺陷的黑客支付了1萬美元�����。她說�,由于物聯(lián)網(wǎng)設備的漏洞,該公司專注于打印機安全性�。 Albright說,雖然人們非常關注連接設備及其安全漏洞�����,但它通常用于網(wǎng)絡攝像頭�����,智能電視或燈泡�,而不是打印機?;萜占夹g專家指出,打印機可能是人們擁有的最古老�,最常見的物聯(lián)網(wǎng)設備。它們已經(jīng)存在了很長一段時間�����,甚至在“物聯(lián)網(wǎng)“一詞出現(xiàn)之前�����,問題是,為什么客戶不將打印機視為物聯(lián)網(wǎng)��?
2016年��,Mirai僵尸網(wǎng)絡 – 一個龐大的黑客攻擊設備網(wǎng)絡�,曾經(jīng)在網(wǎng)上造成嚴重破壞 – 導致網(wǎng)絡中斷,導致Twitter���,Netflix和Reddit等熱門網(wǎng)站遭遇破壞。 Albright說�����,僵尸網(wǎng)絡使用黑客入侵的物聯(lián)網(wǎng)設備��,如網(wǎng)絡攝像頭和DVR��,但打印機也是這種組合的一部分��。
HP的bug賞金計劃將通過Bugcrowd運行�����,這是一個促進支付和邀請的平臺�����。該程序目前是私有的,邀請研究人員加入�����。奧爾布賴特表示惠普有意將其公開�,但目前仍在關閉狀態(tài)以更好地管理發(fā)現(xiàn)的漏洞。受邀研究人員可以從他們家里的電腦上遠程訪問15臺打印機���,這些打印機在惠普的辦公室中被隔離�����,他們可以窺探這些打印機��,找到隱藏的漏洞��。Albright表示�����,對于1萬美元的支付��,研究人員必須找到嚴重的缺陷��,例如遠程代碼執(zhí)行�,這將允許攻擊者完全控制打印機。如果他們發(fā)現(xiàn)并報告任何缺陷�����,HP將支付他們的發(fā)現(xiàn)費用�����,然后在下次更新時開始修復�。
