HP lanzó un programa de recompensas de errores para impresoras


HP anunció el lanzamiento de un programa de recompensa de errores para impresoras. La compañía está dispuesta a pagar hasta $ 10,000 por vulnerabilidades graves encontradas en sus productos.

La iniciativa, que HP llama el primer programa de recompensas por errores en la industria de impresorasa, se lanzó en asociación con la plataforma de seguridad Bugcrowd.

El programa es privado, lo que significa que no todos pueden participar. Los investigadores invitados por HP recibieron instrucciones de centrarse en las vulnerabilidades a nivel del firmware, incluida la ejecución remota de código, la falsificación de solicitudes entre sitios (CSRF) y los errores de secuencias de comandos entre sitios (XSS).

Las recompensas oscilan entre $ 500 y $ 10,000 por falla, pero HP no está divulgando los pagos específicos para cada tipo de problema. Los investigadores también pueden obtener una recompensa si informan sobre una vulnerabilidad descubierta anteriormente por HP en sí: la compañía describe esto como un "pago de buena fe".

El programa de recompensas de errores actualmente cubre las impresoras y equipos multifunción HP LaserJet Enterprise (A3 y A4), así como las impresoras y equipos multifunción HP PageWide Enterprise (A3 y A4).

HP afirmó a los medios que actualmente está trabajando con 34 investigadores. La compañía dice que el programa cubre solo dispositivos terminales (los dominios web relacionados con la impresora están fuera del alcance) con un enfoque en el firmware de impresión.

La compañía planea expandir el programa a su línea de PC pronto, pero actualmente se enfoca en las impresoras debido a la preocupación de que los avances tecnológicos en esta área conviertan este tipo de dispositivos en un objetivo atractivo para los actores malintencionados. HP señaló que las impresoras no solo pueden proporcionar acceso a la red que las aloja, sino que también pueden exponer documentos confidenciales.