Η Intel επιχείρησε να τιμωρήσει το ολλανδικό πανεπιστήμιο για την καταστολή της ευπάθειας του MDS



Cybersecurity researchers at the Vrije Universiteit Amsterdam, also known as VU Amsterdam, allege that Intel tried to bribe them to suppress knowledge of the latest processor security vulnerability RIDL (rogue in-flight data load), which the company made public on May 14. Dutch publication Nieuwe Rotterdamsche Courant reports that Intel offered to pay the researchers a USD $40,000 'reward' to allegedly get them to downplay the severity of the vulnerability, and backed their offer with an additional $80,000. The team politely refused both offers.

Το πρόγραμμα γενναιοδωρίας της ευρωστίας για την ευπάθεια της Intel περιλαμβάνεται στις συμφωνίες της CYA, με στόχο την ελαχιστοποίηση των απωλειών της Intel από την ανακάλυψη μιας νέας ευπάθειας. Σύμφωνα με τους όρους της, όταν ένας αποκαλυπτικός χρήστης αποδέχεται την ανταμοιβή της γενναιοδωρίας, συνάπτει με την Intel μια συμφωνία NDA (non-disclosure agreement), για να μην αποκαλύψει τα ευρήματά της ούτε να επικοινωνήσει σε σχέση με οποιοδήποτε άλλο πρόσωπο ή οντότητα παρά με ορισμένους εξουσιοδοτημένους χρήστες της Intel. Με την παραβίαση της δημόσιας γνώσης, η Intel μπορεί να ασχοληθεί με τον μετριασμό και τις διορθώσεις ενάντια στην ευπάθεια. Η Intel ισχυρίζεται ότι οι πληροφορίες σχετικά με τα τρωτά σημεία που γίνονται δημόσιες πριν να έχουν την ευκαιρία να τους αντιμετωπίσει θα δώσουν στους κακούς τον χρόνο να σχεδιάσουν και να διαδώσουν κακόβουλο λογισμικό που εκμεταλλεύεται την ευπάθεια. Αυτό είναι ένα επιχείρημα που οι άνθρωποι στη VU δεν ήταν διατεθειμένοι να αγοράσουν και έτσι η Intel αναγκάζεται να αποκαλύψει το RIDL ακόμη και όταν οι ενημερώσεις για μικροκώδικα, οι ενημερώσεις λογισμικού και τα patched hardware αρχίζουν να βγαίνουν.
Ενημέρωση: (17/05): Ένας εκπρόσωπος της Intel σχολίασε αυτή την ιστορία.

Intel contacted us with a statement on this story pertaining to the terms of its bug bounty program: Sources: NRC.nl, EverythingIsNorminal (Reddit)