HP: תחרות לאיתור פגיעויות במדפסות

HP השיקה בימים אלו תחרות לאיתור פגיעויות (Bug Bounty Program) במדפסות מתוצרתה. החברה הודיעה כי תשלם עד 10,000 דולר למומחי טכנולוגיה שיצליחו להצביע על נקודות תורפה חמורות במוצריה.

חברות טכנולוגיה רבות, בעיקר מתחום התוכנה, מודיעות מעת לעת על תחרויות דומות וקוראות לציבור המשתמשים לנסות ולאתר פגיעויות במוצריהן. HP ציינה כי זוהי הפעם הראשונה בה החברה מודיעה על מהלך שכזה בתחום המדפסות ואנליסטים ציינו כי זו עדות למחוייבות העמוקה שלה להידוק האבטחה של מוצריה ולהגנה של חברות ומשתמשים מפני מתקפות סייבר.

התחרות יוצאת לדרך בשיתוף פלטפורמת האבטחה Bugcrowd,  אך היא אינה פרטית, כך שלא כל אחד יכול להשתתף בה. SecurityWeek דיווח כי HP הזמינה 34 חוקרים להשתתף בתחרות, והם התבקשו להתמקד בנקודות תורפה בתחום הקושחה, לרבות ניסיון חדירה מרחוק למערכת ההפעלה של המדפסת ובאגים נוספים דוגמת cross-site request forgery (ר"ת CSRF) או (cross-site scripting (XSS.

סרטון של HP על האקר שמפצח רשתות ארגונים דרך מדפסות. מתוך YouTube.

 מתכננת להרחיב בקרוב את התוכנית גם לתחום המחשבים

התחרות תחול על מדפסות לייזר-ג'ט משרדיות ומדפסות רב-שימושיות לדפים בגודל של עד 3A. הפרסים ינועו בין 500 ל-10,000 דולר עבור כל פגיעות, אולם HP לא ציינה מפורשות את הסכומים שתשלם לגבי כל סוגי הבאגים.

על פי דו"ח שפרסמה Bugcrowd, סוג המתקפות הנמצא כיום במגמת גידול הוא כאלה המכוונות על התקני קצה. כך, דווח, סך כל הפגיעויות בתחום המדפסות בתעשייה כולה עלה ב-21% בשנה האחרונה.

HP מתכננת להרחיב בקרוב את התוכנית גם לתחום המחשבים, אך כרגע מתמקדת במדפסות. זאת, בעקבות החשש שהן משמשות יעד אטרקטיבי עבור האקרים המנסים לנצל פיתוחים טכנולוגיים מתקדמים כדי לבצע התקפות מרחוק.

בחברה ציינו כי מאחר והמדפסות שלה מתחברות לרשת המקומית, פריצה אליהן יכולה לספק להאקרים לסוגיהם ולגורמים זדוניים גישה לשאר המכשירים המחוברים לרשת. אלא, סייגו, שהמדפסות של HP מצוידות ביישומי אבטחה ייחודיים שמונעים הפעלה מרחוק של נוזקות.

לדברי שיוואן אולברייט, טכנולוגית ההדפסה הראשית של החברה, "HP מחויבת להנדסה של המדפסות המאובטחות בעולם. ככל שאנו מצויים בעולם מורכב יותר של איומי סייבר, גוברת החשיבות של ניצול כל משאב קיים על מנת לספק אבטחה אמינה מרמת הקושחה ומעלה".