2018

Intel предлагает до $250 тыс. за найденные уязвимости в своих продуктах

Компания Intel запустила публичную программу вознаграждения за найденные уязвимости в своих программных и аппаратных продуктах, позволяющую получить до $250 тыс. за найденную проблему. Об этом компания сообщила в пресс-релизе.

Ранее Intel уже запускала подобные программы, однако участие в них было строго ограничено. Новая программа, которая будет проводиться на платформе HackerOne, доступна для всех желающих. Любой исследователь безопасности с учетной записью на HackerOne теперь сможет искать уязвимости в ряде продуктов Intel, таких как процессоры, коды чипсетов, SSD, материнские платы, сетевые карты и их соответствующие прошивки, а также в драйверах и приложениях уровня ОС. В зависимости от опасности обнаруженной проблемы исследователи могут получить от $500 до $250 тыс.

Фактически, Intel запустила сразу две программы по поиску уязвимостей. Одна из них ориентирована на поиск обычных проблем безопасности и предусматривает вознаграждение в размере от $500 до $100 тыс. Вторая представляет собой программу вознаграждения за поиск уязвимостей, позволяющих провести атаку по сторонним каналам. Исследователи смогут заработать от $5 тыс. до $250 тыс. Данная программа действует до 31 декабря 2018 года.

Раскрытие данных об уязвимостях в процессорах китайцам раньше, чем властям США

В конце января 2018 года стало известно о том, что Intel уведомила некоторых своих клиентов об уязвимостях в процессорах раньше, чем американское правительство.

Как сообщает газета The Wall Street Journal (WSJ) со ссылкой на знакомых с ситуацией людей, среди тех, кто получил от Intel информацию раньше других, были китайские технологические компании, включая Lenovo и Alibaba Group.

Опрошенные изданием эксперты в области кибербезопасности опасаются, что секретные данные могли попасть китайскому правительству перед публичной оглаской. Однако нет никаких доказательств, что кто-то злоупотребил информацией, связанной с продукцией Intel, отмечают исследователи.

Американские власти не были в числе первых, кому Intel рассказала об уязвимостях

Поскольку найденные уязвимости можно использовать для сбора конфиденциальных данных из облака, информация о них может представлять большой интерес для любых разведывательных служб, говорит бывший сотрудник Агентства национальной безопасности Джейк Уильямс (Jake Williams), возглавляющий ИБ-компанию Rendition Infosec.

По его словам, «почта наверняка» Пекин знал о разговорах Intel и китайских технологических партнеров, потому что власти постоянно следят за такого рода взаимодействием.

Помимо китайских клиентов, в группу компаний, которых Intel предупредила об уязвимостях в первую очередь, вошли американские Amazon, Microsoft и британская ARM Holdings.

Intel должна была сделать публичное заявление об уязвимостях 9 января 2018 года, однако информация попала в СМИ на неделю раньше. Из-за этого компания не смогла вовремя проинформировать всех, кого хотела, в том числе власти США, пояснил WSJ представитель Intel.

В компании также рассказали, что за несколько месяцев до обнародования данных Intel работала с Google, а также с «ключевыми» производителями компьютеров и поставщиками облачных услуг над устранением уязвимостей.

<< Назад

На главную >>