Seth Larson นักพัฒนาที่รับผิดชอบส่วนความปลอดภัยของโครงการ Python Software Foundation โพสต์บล็อก แสดงความกังวลต่อการรายงานปัญหาความปลอดภัยในซอฟต์แวร์โอเพนซอร์ส โดยพบจำนวนการแจ้งปัญหาบั๊กที่คุณภาพต่ำ เป็นสแปม เนื่องจากเป็นรายงานที่ออกมาจากปัญญาประดิษฐ์ LLM เพิ่มมากขึ้น
เขาบอกว่าการตรวจสอบยืนยันปัญหาความปลอดภัยในซอฟต์แวร์โอเพนซอร์ส ต้องใช้ผู้เชี่ยวชาญและสิ่งเหล่านี้คือต้นทุนทั้งแรงงานและเวลา หากแนวโน้มการส่งรายงานปัญหาด้วย AI LLM ไม่มีคุณภาพแบบนี้มีมากขึ้น อาจกระทบต่อคนทำงานให้รู้สึกมีภาระเพิ่มแต่ไม่เกิดประโยชน์ สามารถมองเป็นภัยคุกคามอย่างหนึ่งของชุมชนโอเพนซอร์สได้
กูเกิลมีโครงการ Bug Bounty รับรายงานการค้นพบช่องโหว่ในบริการต่าง ๆ พร้อมให้เงินรางวัล ล่าสุดกูเกิลประกาศยุติโครงการจ่ายเงินรางวัล ให้การรายงานช่องโหว่ความปลอดภัยของแอปใน Google Play ซึ่งเป็นส่วนหนึ่งของการรายงานช่องโหว่ผลิตภัณฑ์หลัก Android แล้ว (Google Play Security Reward Program - GPSRP)
กูเกิลรายงานการจ่ายเงินรางวัล สำหรับผู้แจ้งบั๊กช่องโหว่ของโครงการ Vulnerability Reward Program (VRP) ในปี 2023 โดยจ่ายเงินไป 10 ล้านดอลลาร์ ให้นักวิจัย 632 ราย ใน 68 ประเทศ
ตัวเลขนี้ลดลงจากปี 2022 ซึ่งกูเกิลจ่ายเงินไป 12 ล้านดอลลาร์ โดยในปีที่ผ่านมา การจ่ายเงินสูงสุดกับนักวิจัยหนึ่งการรายงานคือ 113,337 ดอลลาร์ ตัวเลขสะสมที่กูเกิลจ่ายมาตลอดโครงการนี้ตั้งแต่ปี 2010 คือ 59 ล้านดอลลาร์
VRP ส่วนของการรายงานบั๊ก-ช่องโหว่ใน Android มีการจ่ายเงินไปรวม 3.4 ล้านดอลลาร์ ซึ่งปีที่ผ่านมาขอบข่ายรวมไปถึง Wear OS ด้วย, Chrome มีการจ่ายเงินไป 2.1 ล้านดอลลาร์ จากการรายงานช่องโหว่ทั้งหมด 359 รายการ และส่วน Generative AI ที่เพิ่งเพิ่มมา มีทั้งหมด 35 การรายงาน จ่ายเงินไป 87,000 ดอลลาร์
กูเกิลประกาศขยายโครงการ VRP (Vulnerability Reward Program) ที่ให้รายงานช่องโหว่หรือบั๊ก ครอบคลุมถึงหัวข้อ Generative AI ซึ่งกูเกิลบอกว่าถือเป็นการให้ผลตอบแทนสำหรับการวิจัย ที่เกี่ยวข้องกับความปลอดภัยและความเสี่ยงของ AI เพื่อให้ AI เป็นพื้นที่ปลอดภัยของทุกคน
ตัวอย่างหัวข้อที่กูเกิลถือว่าเป็นช่องโหว่ของ Generative AI เช่น การมีอคติอย่างไม่ยุติธรรม (Unfair bias), การนำโมเดลไปดัดแปลงไม่เหมาะสม ตลอดจนการตีความข้อมูลที่ไม่ถูกต้อง กูเกิลบอกว่าการนำ Generative AI ไปใส่ในผลิตภัณฑ์ของกูเกิลนั้น มีทีมงานความปลอดภัยทดสอบความเสี่ยงด้านต่าง ๆ ที่อาจเกิดขึ้นได้อยู่แล้ว แต่การได้ความร่วมมือเพิ่มเติมจากนักวิจัยภายนอกจะช่วยให้ Generative AI ของกูเกิลปลอดภัยมากขึ้นไปอีก
Jay Freeman นักพัฒนาโครงการ Cydia ที่ใช้เจาะ iOS รายงานช่องโหว่สร้างโทเค็นไม่จำกัดบนเครือข่าย Optimism ที่เป็นเครือข่าย Layer-2 สำหรับการโอน Ethereum อย่างรวดเร็วและประหยัด gas นับเป็นช่องโหว่ที่ร้ายแรงจนกระทั่งทาง Optimism ตัดสินใจจ่ายเงินรางวัล 2 ล้านดอลลาร์ (กับอีก 42 ดอลลาร์)
ช่องโหว่อาศัยคำสั่ง SELFDESTRUCT
ของ EVM ที่ Optimism พัฒนาต่อมาจากโครงการ Ethereum โดยหากเรียกคำสั่งนี้จาก smart contract ตัว EVM จะลบ contract ทิ้ง แต่กลับเหลือมูลค่า token ทิ้งไว้ หากโอนเงินแล้วสั่ง SELFDESTRUCT
ก็จะเหมือนสร้างเงินขึ้นมาเฉยๆ
กูเกิลออกรายงานเกี่ยวกับการให้รางวัลสำหรับผู้แจ้งบั๊กช่องโหว่ในโครงการ VRP (Vulnerability Reward Program) โดยในปี 2021 มีการจ่ายเงินไป 8.7 ล้านดอลลาร์ และมีนักวิจัยเลือกบริจาคเงินรางวัลดังกล่าวให้หน่วยงานการกุศลกว่า 3 แสนดอลลาร์
โครงการ VRP แบ่งการรายงานเป็น 4 หมวด ได้แก่ Android, Chrome, Abuse และ Google Play ในปีที่ผ่านมาหมวด Chrome มีการจ่ายเงินรางวัลมากที่สุดรวม 3.3 ล้านดอลลาร์ จากช่องโหว่ที่รายงาน 333 รายการ มีนักวิจัยได้รับเงินรางวัล 115 ราย ส่วนใหญ่เป็นบั๊กเกี่ยวกับเบราว์เซอร์
ช่องโหว่ที่ได้เงินรางวัลสูงสุดคือ CVE-2021-39698 ซึ่งเป็นช่องโหว่ที่ทำงานเป็นลูกโซ่บน Android ได้เงินรางวัล 157,000 ดอลลาร์ สูงสุดเท่าที่เคยจ่ายมาในหมวด Android
กระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐ (Department of Homeland Security หรือ DHS) เปิดโครงการ bug bounty เชิญชวนแฮ็กเกอร์สายขาวมาแฮ็กระบบของ DHS พร้อมรับเงินรางวัลตอบแทน
โครงการนี้มีชื่อว่า "Hack DHS" มีกิจกรรมทั้งการค้นหาช่องโหว่แบบออนไลน์ และกิจกรรมออฟไลน์ให้แข่งขันกัน หลังจากนั้น DHS จะมาสรุปบทเรียนและพัฒนาเป็นโครงการในระยะถัดไป
Alejandro N. Mayorkas รัฐมนตรี DHS ให้สัมภาษณ์ว่ารัฐบาลสหรัฐต้องการยกระดับความปลอดภัยของระบบไอที ดังนั้น DHS จึงต้องทำตัวเป็นตัวอย่างก่อนใครเพื่อน โครงการ Hack DHS เกิดขึ้นมาเพื่อค้นหาจุดโหว่ของระบบของ DHS เอง และต้องการเป็นต้นแบบให้องค์กรภาครัฐอื่นๆ ทำตาม
ไมโครซอฟท์ รายงานภาพรวมโครงการ Bug Bounty ในช่วง 1 ปีที่ผ่านมา (1 กรกฎาคม 2020 - 30 มิถุนายน 2021) จ่ายเงินรางวัลไปรวม 13.6 ล้านดอลลาร์ ให้กับผู้วิจัย 340 ราย จาก 58 ประเทศ
เงินรางวัลที่จ่ายให้สูงสุดมูลค่า 200,000 ดอลลาร์ ในโครงการรายงานช่องโหว่ของ Hyper-V มีค่าเฉลี่ยที่ 10,000 ดอลลาร์
ปัจจุบันไมโครซอฟท์มีโครงการรายงานช่องโหว่ 17 โครงการ โดยโครงการของ Hyper-V มีเงินรางวัลสูงสุดที่ 250,000 ดอลลาร์ ในปีที่ผ่านมาได้เพิ่มโครงการใหม่หลายอย่าง อาทิ Microsoft Teams หรือการเข้ารหัส SIKE
ที่มา: ZDNet
กูเกิลออกรายงานโครงการ bug bounty หรือรายงานการพบช่องโหว่เพื่อรับเงินรางวัลของปี 2020 ซึ่งจ่ายเงินให้กับนักวิจัยไปรวม 6.7 ล้านดอลลาร์ มีนักวิจัยที่ได้รับเงินทั้งหมด 662 คน จาก 62 ประเทศ เพิ่มขึ้นจาก ปี 2019 ที่จ่ายไป 6.5 ล้านดอลลาร์
กลุ่มผลิตภัณฑ์ Chrome มีการจ่ายเงินรางวัลสูงสุด 2.1 ล้านดอลลาร์ จากช่องโหว่ 300 รายการ ส่วน Android จ่ายเงินไป 1.74 ล้านดอลลาร์, Google Play 2.7 แสนดอลลาร์
Google ออกรายงานโครงการ bug bounty หรือรายงานช่องโหว่รับเงินรางวัลประจำปี ซึ่งโครงการนี้จัดมาตั้งแต่ปลายปี 2010 โดยตลอดระยะเวลา 9 ปีกว่า ๆ Google ได้มอบรางวัลให้นักวิจัยกว่า 21 ล้านดอลลาร์
Google เผยว่า เมื่อปีที่แล้วทั้งปี โครงการนี้จ่ายเงินให้นักวิจัยไปแล้วกว่า 6.5 ล้านดอลลาร์ กับนักวิจัย 461 คน ทำลายสถิติเดิมของปี 2018 ที่ 3.4 ล้านดอลลาร์กับนักวิจัย 317 คน
ไมโครซอฟท์เปิดโครงการ Xbox Bug Bounty โดยจะเน้นไปที่ช่องโหว่บนเครือข่ายและบริการของ Xbox Live โดยเงินรางวัลจะจ่ายให้ตามความรุนแรงของช่องโหว่ตั้งแต่ 500 เหรียญไปจนถึงสูงสุดอย่างช่องโหว่รันโค้ดทางไกลระดับร้ายแรงที่ 20,000 เหรียญ
ไมโครซอฟท์ระบุไว้ด้วยว่าช่องโหว่หรือปัญหาที่ไม่เข้าข่ายรับเงินรางวัล อาทิ DDoS, CSRF ที่ผลกระทบต่ำ หรือ URL Redirects เป็นต้น สามารถดูรายละเอียดและช่องทางการรายงานช่องโหว่ได้ ที่นี่
ที่มา - Microsoft
Cloud Native Computing Foundation (CNCF) ร่วมมือกับ Hacker One ประกาศโครงการ Bug Bounty สำหรับ Kubernetes อย่างเป็นทางการแล้วหลังทดสอบเวอร์ชันเบต้ามาสักพัก
CNCF ระบุว่า bounty นี้ครอบคลุมทุก repo ทุก component ของ Kubernetes บน GitHub แต่ที่ทางองค์กรอยากให้ช่วยคือช่องโหว่ในกระบวนการยืนยันตัวตน, ช่องโหว่ที่ยกระดับสิทธิ์และ RCE ทั้งใน Kubelet และเซิร์ฟเวอร์ API
โครงการนี้มีเงินรางวัลตั้งแต่ 100-10,000 เหรียญสหรัฐ ดูรายละเอียดทั้งหมดได้ ที่นี่
ที่มา - Hacker One
- Read more about Hacker One เปิดโครงการ Bug Bounty สำหรับ Kubernetes
- Log in or register to post comments
Apple ประกาศขยายโครงการ bug bounty ใหม่ให้เป็นโครงการเปิดอย่างสมบูรณ์แบบ เพื่อให้นักวิจัยด้านความปลอดภัยหรือบุคคลที่สนใจเข้ามาร่วมได้ โดยเงินรางวัลสูงสุดของโครงการในเกณฑ์มาตรฐานอยู่ที่ 1 ล้านดอลลาร์ บวกกับรางวัลโบนัสสูงสุด 50% เป็น 1.5 ล้านดอลลาร์
ที่งาน Pwn2Own โตเกียวปีนี้มีการแข่งขันแฮกอุปกรณ์ IoT และคอมพิวเตอร์ขนาดเล็กจำนวนมาก โดยอุปกรณ์ตัวหนึ่งที่ถูกแฮกได้คือ Amazon Echo Show ลำโพงอัจริยะของ Amazon
ผู้โจมตีสำเร็จคือทีม Fluoroacetate การโจมตีอาศัยการบังคับให้ Echo Show เชื่อมต่อกับ Wi-Fi ที่ไม่ปลอดภัย จากนั้นยิงหน้าเว็บเพื่อเจาะผ่านบั๊ก integer overflow ของ Chromium รุ่นเก่า
ปัญหาการไม่อัพเดตซอฟต์แวร์ต้นน้ำที่ออกแพตช์ความปลอดภัยมาแล้ว (patch gap) เป็นปัญหาใหญ่ของวงการ IoT ที่อุปกรณ์มักมีความสามารถสูงขึ้นเรื่อยๆ หลายครั้งมีเบราว์เซอร์เต็ม แต่กลับไม่ได้รับแพตช์ตามรอบเช่นเดียวกับพีซีหรือโทรศัพท์มือถือ
HackerOne ประกาศความร่วมมือกับ Government Technology Agency (GovTech) ของรัฐบาลสิงคโปร์ เปิดตัวโครงการ Vulnerability Disclosure Programme (VDP) โครงการที่เปิดให้แจ้งบั๊คและช่องโหว่ในทุกบริการของรัฐบาลไม่ว่าจะเว็บหรือแอปพลิเคชัน หลังจากก่อนหน้าคือ HackerOne เคยร่วมมือกับรัฐบาลทำ Government Bug Bounty Programme (BBP) มาแล้ว
โครงการ VDP เป็นเพียงโครงการที่เปิดให้คนทั่วไปรายงานปัญหาต่าง ๆ คนรายงานจะไม่ได้รับค่าตอบแทน แตกต่างจากโครงการ Bug Bounty ที่แฮกเกอร์จะได้เงินค่าตอบแทนตามความร้ายแรงของช่องโหว่ โดย HackerOne และ GovTech จะจัด Government BBP ครั้งที่ 3 ในเดือนพฤศจิกายนนี้
Apple ประกาศขยายโครงการ bug bountyหรือรายงานบั๊กรับเงินรางวัล จากเดิมที่รองรับเฉพาะ iOS ขยายเป็น iPadOS, macOS, tvOS และ watchOS รวมถึงบริการอย่าง iCloud ซึ่งจะมีเงินรางวัลให้สูงสุดถึง 1 ล้านดอลลาร์ จากเดิมที่ 2 แสนดอลลาร์
การขยายโครงการ bug bounty ครั้งนี้มีจุดประสงค์เพื่อให้นักวิจัยด้านความปลอดภัยสนใจการค้นหาช่องโหว่ในตัวซอฟต์แวร์หรือบริการของ Apple มากขึ้น จากเดิมที่เงินรางวัลในโครงการนี้ไม่ค่อยคุ้มค่าและไม่ครอบคลุมระบบปฏิบัติการอื่นนอกจาก iOS ก็ส่งผลให้บางกรณีนักวิจัยเลือกเปิดเผยช่องโหว่แทนที่จะแจ้งให้ Apple ทราบ
ไมโครซอฟท์ประกาศตั้ง Azure Security Lab โดยเชิญนักวิจัยด้านความปลอดภัยจำนวนหนึ่งมาช่วยกันแฮ็ก Azure เหมือนกับเป็นอาชญากรไซเบอร์จริงๆ
เครื่องที่ใช้ใน Azure Security Lab เป็นเครื่องที่เซ็ตขึ้นมาเฉพาะกิจเพื่อการทดสอบโจมตีเพียงอย่างเดียว ถูกกันแยกจากเครื่องที่ให้บริการลูกค้าจริงๆ เพื่อให้นักวิจัยด้านความปลอดภัยมีอิสระอย่างเต็มที่ในการคิดค้นวิธีโจมตีแบบใหม่ๆ และไมโครซอฟท์ก็มีเงินรางวัลให้เป็นแรงจูงใจด้วย (รางวัลใหญ่ที่สุด 300,000 ดอลลาร์ หรือเกือบ 10 ล้านบาท - รายละเอียด )
ผู้ใช้ HackerOne ชื่อว่า spaceraccoon รายงานถึงเซิร์ฟเวอร์ของสตาบั๊กในสิงคโปร์ที่เป็นเซิร์ฟเวอร์ไม่ได้ใช้งาน แต่กลับรัน CMS เก่าที่ไม่ได้อัพเดตเปิดทางให้แฮกเกอร์รันโค้ดและยึดเซิร์ฟเวอร์ได้
spaceraccoon พบเซิร์ฟเวอร์นี้จากการไล่ชื่อโดเมน (subdomain enumeration) แม้ตัวเว็บไซต์จะมีเพียงข้อความ "this website is not in use" แต่ท้ายเว็บกลับมีชื่อ CMS ระบุไว้เป็นจาวาที่รันอยู่บน Jboss ที่ไม่ได้ล็อก web console เอาไว้
Jboss ที่ใช้งานอยู่เป็นเวอร์ชั่นเก่านานหลายปี มีช่องโหว่ Java deserialization
ทาง Starbucks (ชื่อผู้ใช้ coldbr3w) รับเรื่อง หลายรายงานหนึ่งวันและเว็บไซต์นี้ก็ถูกปิดตัวลง พร้อมจะจ่ายรางวัลระดับสูงสุดตามโครงการรายงานช่องโหว่ของ Starbucks มูลค่า 4,000 ดอลลาร์
Google ออกรายงานโครงการ bug bouty ประจำปี 2018 โดยแยกโปรแกรมออกเป็นสองอย่างคือการแจกรางวัลเมื่อแจ้งช่องโหว่ และแจกรางวัลให้งานวิจัยความปลอดภัยและความเป็นส่วนตัว
ในส่วนของการแจกรางวัลเมื่อแจ้งช่องโหว่ Google ระบุว่า เป้าหมายของโครงการนี้คือเพื่อจูงใจให้นักวิจัยความปลอดภัย รวมไปถึงบุคคลทั่วไปที่สนใจมาแจ้งช่องโหว่ให้ Google อุด และมีเงินรางวัลตอบแทนตั้งแต่ 100-200,000 ดอลลาร์ตามความร้ายแรงของช่องโหว่
ช่วงหลังเราเห็นโครงการ Bug Bounty แจกเงินรางวัลให้ผู้ค้นพบช่องโหว่หรือบั๊กของซอฟต์แวร์ต่างๆ มากขึ้นเรื่อยๆ แต่ส่วนใหญ่มักเป็นซอฟต์แวร์ของบริษัทใหญ่ๆ ที่มีเงินเหลือเฟือ
ล่าสุด สหภาพยุโรป (EU) ประกาศโครงการ Bug Bounty ให้กับซอฟต์แวร์โอเพนซอร์ส 14 ตัวที่ EU ใช้งาน เช่น Filezilla, Apache Kafka, Apache Tomcat, Notepad++, VLC, PuTTY, 7-Zip, Drupal, glibc, PHP Symfony เป็นต้น
แฮกเกอร์ผู้ใช้นามแฝงว่า moskowsky รายงานช่องโหว่ของเว็บ partner.steamgames.com
ที่หากส่งพารามิเตอร์บางอย่าง (ไม่เปิดเผย) จะทำให้ผู้ใช้สามารถดาวน์โหลดคีย์ของเกมใดๆ ก็ได้ ทั้งหมดที่ผู้ผลิตเกมเคยสร้างคีย์ขึ้นมา
ช่องโหว่นี้รายงานไปยัง Valve ตั้งแต่ต้นเดือนสิงหาคมที่ผ่านมา และทาง Valve แก้ไขแล้วเสร็จในเวลาเพียง 4 วัน และมอบรางวัลให้ moskowsky เป็นเงินตามความร้ายแรง 15,000 ดอลลาร์ และมีโบนัสเพิ่มอีก 5,000 ดอลลาร์
Matt Nelson นักวิจัยความปลอดภัยอิสระเล่าบทเรียนถึงการรายงานช่องโหว่การข้ามการบล็อค OLE ในไฟล์ Office 2016 ที่เปิดให้แฮกเกอร์ส่งไฟล์ที่ฝังสคริปต์ไว้ภายในแล้วไปรันบนเครื่องของเหยื่อได้ แต่ความผิดพลาดในการสื่อสารทำให้ไมโครซอฟท์ไม่รับบั๊กไว้ จนกระทั่งมีการใช้ช่องโหว่ไปโจมตีผู้ใช้ในที่สุด
เขารายงานช่องโหว่พร้อมโค้ดตัวอย่าง ตั้งแต่เดือนกุมพาพันธ์ที่ผ่านมา แม้ทีมงาน MSRC (Microsoft Security Response Center) ของไมโครซอฟท์จะส่งผู้จัดการเคสมารับเรื่องอย่างรวดเร็ว แต่การสื่อสารก็ขาดช่วง และสุดท้ายหลังจากผ่านไปเกือบสี่เดือนไมโครซอฟท์ก็แจ้งว่าความร้ายแรงของช่องโหว่ต่ำกว่าระดับที่ MSRC รับดูแล และการรายงานของ Matt ก็ถูกปิดเคสไป
เฟซบุ๊กประกาศขยายโครงการรางวัลสำหรับรายงานช่องโหว่ (bug bounty) ออกไปสู่แอพภายนอกที่ใช้แพลตฟอร์มเฟซบุ๊กด้วย โดยจำกัดเฉพาะช่องโหว่ที่ทำ access token ของผู้ใช้รั่วไหลเท่านั้น
รายงานช่องโหว่รั่วไหลนี้ต้องเป็นการรั่วไหลจากการ "รับชม" ข้อมูลบนแอพหรือเว็บไซต์เท่านั้น ไม่รวมถึงการโจมตีเว็บไซต์ด้วยวิธีการต่างๆ แนวทางเช่นนี้คือเฟซบุ๊กหาทางลดแอพ "มักง่าย" ที่พัฒนาอย่างไม่ระวังจนทำ access token ของผู้ใช้หลุดออกไป
รางวัลขึ้นกับผลกระทบของรายงานแต่ละครั้ง รางวัลขั้นต่ำ 500 ดอลลาร์
Google ประกาศการขยายขอบข่ายของโครงการ Bug Bounty จากเดิมที่รายงานช่องโหว่ความปลอดภัยอย่างเดียว ตอนนี้รับรายงานช่องโหว่ในลักษณะที่ใช้งานแพลตฟอร์มของ Google ไปในทางที่ผิด อาทิ ช่องโหว่บายพาสต์ระบบกู้คืนแอคเคาท์, ช่องโหว่ที่สามารถใช้งานหรือแชร์คอนเทนท์ที่ผิดกฎ หรือที่ทำให้ซื้อสินค้าบนแพลตฟอร์ม Google โดยไม่ต้องจ่ายเงิน เป็นต้น
Google บอกว่าตั้งแต่เปิดโครงการ Bug Bounty รายงานลักษณะนี้ก็มีมาตลอดและบริษัทก็ให้เงินรางวัลมาตลอด ควบคู่กับรายงานช่องโหว่ด้านความปลอดภัย การประกาศครั้งนี้จึงทำให้นักวิจัยสามารถรายงานช่องโหว่ลักษณะดังกล่าวได้อย่างเป็นทางการ
HP เปิดตัวโครงการ bug bounty โครงการรายงานช่องโหว่พร้อมจ่ายเงินรางวัลสำหรับผลิตภัณฑ์เครื่องพิมพ์
โครงการ bug bounty ของ HP นี้จะจ่ายเงินรางวัลตั้งแต่ 500-10,000 ดอลลาร์ต่อช่องโหว่ โดยโครงการนี้เป็นโครงการสำหรับรายงานช่องโหว่ที่เปิดให้ในวงจำกัด และ HP เลือกใช้แพลตฟอร์มของ Bugcrowd สำหรับการรับรายงานช่องโหว่
โครงการ bug bounty สำหรับเครื่องพิมพ์ของ HP จะเน้นไปที่เครื่องพิมพ์สำหรับใช้ในองค์กรหรือสำนักงาน เนื่องจากเครื่องพิมพ์เหล่านี้มักถูกเชื่อมต่อกับระบบเครือข่าย ซึ่งมีความอ่อนไหวต่อการเจาะและเป็นภัยต่อเครือข่ายในองค์กรได้ง่าย โดย HP บอกว่าบริษัทถือเป็นรายแรกที่ออกโครงการ bug bounty สำหรับเครื่องพิมพ์ และทางบริษัทมีแผนจะขยายโครงการนี้ไปยังพีซีด้วย
