Intel intentó sobornar a VU Amsterdam para que no revelen las vulnerabilidades de MDS

0

Los investigadores de seguridad cibernética de la Vrije Universiteit Amsterdam, también conocida como VU Amsterdam, alegan que Intel intentó sobornarlos para suprimir el conocimiento de la última vulnerabilidad de seguridad del procesador RIDL (Rogue In-Flight Data Load), que la compañía hizo pública el 14 de mayo. El Nieuwe Rotterdamsche Courant informa que Intel ofreció pagar a los investigadores una «recompensa» de USD $40,000 para supuestamente minimizar la gravedad de la vulnerabilidad y respaldó su oferta con US $80,000 adicionales. El equipo cortésmente rechazó ambas ofertas.

Este «Programa de Recompensas de Vulnerabilidad de Seguridad de Intel» está cubierto por acuerdos CYA diseñados para minimizar las pérdidas de esta empresa por el descubrimiento de una nueva vulnerabilidad. Según sus términos, una vez que un descubridor acepta la «recompensa», suscribe un «acuerdo de confidencialidad» (NDA) con Intel, para no divulgar sus hallazgos ni comunicarse con nadie más que con ciertas personas autorizadas en Intel.

Con el conocimiento público retenido, Intel puede trabajar en la mitigación y parches contra la vulnerabilidad. La compañía sostiene que la información sobre vulnerabilidades que se hacen públicas antes de tener la oportunidad de abordarlas les daría tiempo a los «malhechores» a diseñar y difundir el malware que explota la vulnerabilidad. Este es un argumento que la gente de VU no ve creíble y, por lo tanto, Intel se ve obligada a revelar RIDL, incluso cuando se actualice el microcódigo.