HP looft 10.000 dollar uit aan vinders printerbugs

Voorheen werkte HP rechtstreeks samen met onderzoekers om printerbugs te vinden. “We moedigden onderzoekers altijd aan om actief kwetsbaarheden te melden”, zegt. Shivaun Albright, chief technologist printerbeveiliging bij HP aan darkreading.com.

Het nieuwe bugbounty-programma vraagt onderzoekers om firmwarefouten te melden, zoals cross-site request forgery (CSRF), remote code execution (RCE), en cross-site scripting (XSS). “Een onderzoeker heeft zelfs een zakelijk A3-printer ontvangen om actief alle componenten van buitenaf te kunnen beoordelen”, aldus Albright. Het programma is in eerste instantie bedoeld voor HP LaserJet Enterprise-printers en HP PageWide Enterprise-printers en MFP's (A3- en A4-indelingen).

Bewust van belang

Volgens de chief technologist, worden printers vaak over het hoofd gezien bij het beveiligen van een netwerk, terwijl kwaadwillenden juist steeds vaker naar externe apparaten kijken om een netwerk binnen te dringen. “Printers zijn, net als PC’s, ongelooflijk krachtige apparaten geworden waarvan de opslag- en verwerkingscapaciteit steeds groter wordt. We zijn ons nog niet bewust geworden van het belang van het beveiligen van printapparaten. Alle goede beveiligingspractices die worden toegepast op PC’s of andere belangrijke apparaten in het netwerk worden niet op dezelfde manier op printers ingezet.”

Uit een recent onderzoek van Bugcrowd blijkt dat er steeds vaker lekken in printers worden ontdekt. Vergeleken met een jaar eerder steeg het aantal kwetsbaarheden in printers met 21 procent.