信息來源：hackernews

周二，惠普宣布了第一個專門針對其打印機(jī)的bug賞金計劃，為能夠在其機(jī)器上發(fā)現(xiàn)漏洞的黑客提供高達(dá)1萬美元的獎勵。Bug賞金是公司發(fā)現(xiàn)安全漏洞的常見方式，對于嚴(yán)重漏洞酬金支付可高達(dá)10萬美元。在惡意使用漏洞之前，黑客已經(jīng)能夠在大公司獲得一個全職工作來軟件并報告錯誤。像谷歌和Facebook這樣的公司已經(jīng)將漏洞獎金作為加強(qiáng)其產(chǎn)品安全性的一種方式。

惠普在5月份悄然啟動了計劃，有34名研究人員報名參加。該公司負(fù)責(zé)打印機(jī)安全的首席技術(shù)專家Shivaun Albright上周接受采訪時說，它已經(jīng)向一名發(fā)現(xiàn)其打印機(jī)存在嚴(yán)重缺陷的黑客支付了1萬美元。她說，由于物聯(lián)網(wǎng)設(shè)備的漏洞，該公司專注于打印機(jī)安全性。 Albright說，雖然人們非常關(guān)注連接設(shè)備及其安全漏洞，但它通常用于網(wǎng)絡(luò)攝像頭，智能電視或燈泡，而不是打印機(jī)?；萜占夹g(shù)專家指出，打印機(jī)可能是人們擁有的最古老，最常見的物聯(lián)網(wǎng)設(shè)備。它們已經(jīng)存在了很長一段時間，甚至在“物聯(lián)網(wǎng)“一詞出現(xiàn)之前，問題是，為什么客戶不將打印機(jī)視為物聯(lián)網(wǎng)？

2016年，Mirai僵尸網(wǎng)絡(luò) – 一個龐大的黑客攻擊設(shè)備網(wǎng)絡(luò)，曾經(jīng)在網(wǎng)上造成嚴(yán)重破壞 – 導(dǎo)致網(wǎng)絡(luò)中斷，導(dǎo)致Twitter，Netflix和Reddit等熱門網(wǎng)站遭遇破壞。 Albright說，僵尸網(wǎng)絡(luò)使用黑客入侵的物聯(lián)網(wǎng)設(shè)備，如網(wǎng)絡(luò)攝像頭和DVR，但打印機(jī)也是這種組合的一部分。

HP的bug賞金計劃將通過Bugcrowd運(yùn)行，這是一個促進(jìn)支付和邀請的平臺。該程序目前是私有的，邀請研究人員加入。奧爾布賴特表示惠普有意將其公開，但目前仍在關(guān)閉狀態(tài)以更好地管理發(fā)現(xiàn)的漏洞。受邀研究人員可以從他們家里的電腦上遠(yuǎn)程訪問15臺打印機(jī)，這些打印機(jī)在惠普的辦公室中被隔離，他們可以窺探這些打印機(jī)，找到隱藏的漏洞。Albright表示，對于1萬美元的支付，研究人員必須找到嚴(yán)重的缺陷，例如遠(yuǎn)程代碼執(zhí)行，這將允許攻擊者完全控制打印機(jī)。如果他們發(fā)現(xiàn)并報告任何缺陷，HP將支付他們的發(fā)現(xiàn)費用，然后在下次更新時開始修復(fù)。