Intel tentou subornar a Universidade Holandesa para suprimir o conhecimento da vulnerabilidade do MDS



Cybersecurity researchers at the Vrije Universiteit Amsterdam, also known as VU Amsterdam, allege that Intel tried to bribe them to suppress knowledge of the latest processor security vulnerability RIDL (rogue in-flight data load), which the company made public on May 14. Dutch publication Nieuwe Rotterdamsche Courant reports that Intel offered to pay the researchers a USD $40,000 'reward' to allegedly get them to downplay the severity of the vulnerability, and backed their offer with an additional $80,000. The team politely refused both offers.

O programa de recompensas por vulnerabilidades de segurança da Intel está envolto em acordos de CYA projetados para minimizar as perdas da Intel com a descoberta de uma nova vulnerabilidade. Sob seus termos, uma vez que um descobridor aceita a recompensa da recompensa, eles celebram um NDA (acordo de confidencialidade) com a Intel, para não divulgar suas descobertas ou se comunicar com qualquer outra pessoa ou entidade que não com certas pessoas autorizadas na Intel. Com o conhecimento público retido, a Intel pode trabalhar na mitigação e nos patches contra a vulnerabilidade. A Intel argumenta que as informações de vulnerabilidades que se tornam públicas antes que elas tenham a chance de resolvê-las dariam aos bandidos tempo para projetar e espalhar malware que explora a vulnerabilidade. Esse é um argumento que as pessoas da VU não estavam dispostas a comprar e, portanto, a Intel é forçada a divulgar o RIDL mesmo quando as atualizações de microcódigo, atualizações de software e hardware corrigido estão apenas começando a aparecer.
Atualização: (17/05): Um porta-voz da Intel comentou essa história.

Intel contacted us with a statement on this story pertaining to the terms of its bug bounty program: Sources: NRC.nl, EverythingIsNorminal (Reddit)