Intel се опита да подкупи холандския университет, за да потисне знанията за уязвимостта на MDS



Cybersecurity researchers at the Vrije Universiteit Amsterdam, also known as VU Amsterdam, allege that Intel tried to bribe them to suppress knowledge of the latest processor security vulnerability RIDL (rogue in-flight data load), which the company made public on May 14. Dutch publication Nieuwe Rotterdamsche Courant reports that Intel offered to pay the researchers a USD $40,000 'reward' to allegedly get them to downplay the severity of the vulnerability, and backed their offer with an additional $80,000. The team politely refused both offers.

Програмата на Intel за уязвимост в областта на сигурността е обвита в споразумения CYA, предназначени да минимизират загубите на Intel от откриването на нова уязвимост. Съгласно условията му, след като откривателят приеме наградата за награда, те сключват NDA (споразумение за неразгласяване) с Intel, за да не разкриват своите констатации или да комуникират по въпроса с друго лице или образувание, освен с определени упълномощени хора на Intel. При задържане на обществени знания Intel може да работи по смекчаването и исправянията срещу уязвимостта. Intel твърди, че информацията за уязвимостите, които стават публични, преди да има възможност да се обърне към тях, ще даде време на лошите хора да проектират и разпространяват зловреден софтуер, който използва уязвимостта. Това е аргумент, който хората от VU не бяха склонни да купуват и затова Intel е принудена да разкрива RIDL, дори когато актуализациите на микрокода, актуализациите на софтуера и хартиения хардуер едва започват да излизат.
Актуализация: (17/05): Говорител на Intel коментира тази история.

Intel contacted us with a statement on this story pertaining to the terms of its bug bounty program: Sources: NRC.nl, EverythingIsNorminal (Reddit)