HP ofrece hasta USD 10.000 por identificar vulnerabilidades en sus impresoras

HP ofrece hasta USD 10.000 por identificar vulnerabilidades en sus impresoras

Se trata del primer "bug bounty program" para impresoras de la industria al que, por el momento, solo se puede participar por invitación.

Se trata del primer “bug bounty program” para impresoras de la industria al que, por el momento, solo se puede participar por invitación.

La semana pasada HP anunció el lanzamiento de su programa bug bounty enfocado en impresoras y ofrece recompensas de hasta USD 10.000 por la identificación de vulnerabilidades.

Según un informe reciente elaborado por la plataforma de crowdsourcing Bugcrowd, que es también quién se encargará de administrar este programa bug bounty de HP, se ha visto un incremento en los ataques que buscan aprovecharse de dispositivos endpoint y en los últimos tiempos las vulnerabilidades en impresoras a lo largo de toda la industria incrementaron en un 21% en el último año, asegura la compañía.

Las vulnerabilidades encontradas por investigadores en el marco de este programa privado deberán reportarse a Bugcrowd. Asimismo, será la propia plataforma quien se encargue de revisar el informe presentado y establecer el monto de acuerdo a la severidad de la falla reportada, con un tope de USD 10.000. En caso de que se presente una vulnerabilidad que ya fue previamente descubierta por HP, será revisada para determinar la calidad o importancia para luego ofrecer una recompensa a los investigadores como “pago de buena fe”.

Según publicó CNET, HP comenzó con este programa de recompensas en el mes de mayo con 34 investigadores suscriptos y ya premio a uno con la suma de USD 10.000 , aseguró el jefe de tecnología de HP, Shivaun Albrightpor.

Los investigadores invitados a participar tendrán acceso remoto a 15 impresoras, las cuales están aisladas en las oficinas de HP. De manera remota los especialistas en seguridad podrán realizar las pruebas que consideren en su afán por descubrir vulnerabilidades en estos dispositivos.

Para recibir el premio máximo, la vulnerabilidad identificada deberá ser severa y permitir a un atacante tomar completo control de la impresora. En caso de encontrar y reportar una falla de esta naturaleza, además de realizar el pago correspondiente, HP lanzará lo más rápido posible un parche.

Y así fue. El 1 de agosto, casi inmediatamente luego de haber lanzado el programa, HP lanzó un parche con la actualización del firmware luego de identificar dos vulnerabilidades severas que permiten la ejecución de código de manera remota en las impresoras.

Discusión