A HP anunciou, na semana passada, o lançamento do programa de recompensas bug bounty para impressoras e oferece recompensas de até US$ 10.000 por identificar vulnerabilidades.
De acordo com um relatório recente da plataforma de crowdsourcing Bugcrowd, que é também quem irá gerir esse programa bug bounty da HP, está ocorrendo um aumento nos ataques que tentam se aproveitar dos dispositivos endpoint e, no setor, as vulnerabilidades em impressoras cresceram 21% em 2017, destaca a empresa.
As vulnerabilidades encontradas pelos pesquisadores no framework desse programa privado devem ser reportadas ao Bugcrowd. A plataforma também será responsável por analisar o relatório e definir o valor da recompensa de acordo com a gravidade da falha reportada, com um teto de US$ 10.000. Caso seja apresentada uma vulnerabilidade que já foi descoberta anteriormente pela HP, a falha será revisada para determinar a qualidade ou importância para, em seguida, oferecer uma recompensa aos pesquisadores como "reconhecimento pela iniciativa".
Conforme foi publicado pelo CNET, a HP iniciou este programa de recompensas em maio, com 34 pesquisadores inscritos e já premiou a um dos participantes com USD 10.000, disse o diretor de tecnologia da HP, Shivaun Albrightpor.
Os pesquisadores convidados a participar terão acesso remoto a 15 impressoras, que estão isoladas nos escritórios da HP. Remotamente, os especialistas em segurança poderão realizar os testes para descobrir vulnerabilidades nesses dispositivos.
Para receber o prêmio máximo, a vulnerabilidade identificada deve ser grave e permitir que um invasor assuma o controle total da impressora. Em caso de encontrar e relatar uma falha dessa natureza, além de efetuar o pagamento correspondente, a HP lançará um patch o mais rápido possível.
Na última semana, quase que imediatamente após o lançamento do programa, a HP lançou um patch para a atualização do firmware após a identificação de duas vulnerabilidades graves que permitem a execução de código de forma remota nas impressoras.