物聯網安全出頭，HP祭出全球首個印表機抓漏專案，懸賞1萬美元

HP周二（7/31）宣布將與專門提供眾包安全服務（Crowdsourced Security）的Bugcrowd合作提供全球首個針對印表機的抓漏專案，將視漏洞的嚴重程度提供500美元到1萬美元的獎金。

此一抓漏專案主要著眼於企業等級的HP印表機產品線，包括HP PageWide、HP Color LaserJet與多款MFPs，期望安全研究人員能夠協助尋找這些印表機的韌體安全漏洞，如遠端程式攻擊、網站請求偽造（Cross-Site Request Forgery，CSRF）或跨站指令碼（Cross-site Scripting，XSS）攻擊等。

由於這並非是個公開的抓漏專案，因此必須是受邀的研究人員才能參與。

印表機的安全風險隨著物聯網（IoT）的興起而更受矚目，近來資安社群不斷督促業者重視IoT裝置的安全性，而印表機可說是最古老也最普及的IoT裝置。去年初即有白帽駭客成功入侵了15萬台的網路印表機，自遠端遙控印表機列印，且從Canon、Epson、HP、Lexmark到Brother都受駭。

HP並未制定該抓漏專案的期限，也計畫將該專案延伸至旗下的PC產品線。

Bugcrowd是與白帽社群合作，協助企業建立抓漏專案，也將負責漏洞的評估，類似的組織還包括HackerOne與Synack等。