Intel попыталась подкупить нидерландский университет, чтобы скрыть информацию об уязвимости MDS

Исследователи отказались

Исследователи кибербезопасности из Амстердамского свободного университета (VU), являющегося одним из ведущих научно-исследовательских университетов страны и входящего в число ведущих университетов Европы, утверждают, что компания Intel пыталась подкупить их, чтобы скрыть информацию о новейшей уязвимости в ее процессорах.

Уязвимость, известную как RIDL (Rogue In-Flight Data Load), существование которой компания Intel признала 14 мая, обнаружил студент университета Стефан ван Шайк (Stephan van Schaik, на снимке).

Хотя другие университеты и компании тоже участвовали в изучении проблемы, основная часть работы была сделана в VU. Это, в частности, означает, что только VU может претендовать на получение вознаграждения, предусмотренного в таких случаях. И с этой частью истории связан момент, который источник деликатно назвал «послевкусием». По утверждению VU, вместо максимальной суммы в 100 000 долларов производитель предложил 40 000 долларов, чтобы преуменьшить значимость уязвимости, и «дополнительные 80 000» за согласие на это условие. Исследователи отказались.

Программа выплаты вознаграждений Intel призвана ограничить распространение информации об уязвимостях. Приняв вознаграждение, первооткрыватель уязвимости обязуется не разглашать сведения о ней и не общаться на эту тему ни с каким другим физическим или юридическим лицом, кроме определенных уполномоченных сотрудников Intel. По словам Intel, такой подход  позволяет работать над устранением уязвимостей и выпускать обновления до того, как знание об уязвимостях станет общедоступным, что позволит злоумышленникам разрабатывать и распространять вредоносные программы, использующие эти уязвимости.