Intel RIDL zaifligini aniqlagan tadqiqotchilarga pora berishga urinishda ayblanmoqda
Bug bounty dasturi shartlariga ko’ra, tadqiqotchilar pul qabul qilishda o’z kashfiyotlari haqida hech kimga aytmaslikka rozi bo’lishadi.
Amsterdam Erkin Universiteti (Vrije Universiteit Amsterdam) tadqiqotchilarining so’zlariga ko’ra, Intel ularni RIDL zaifligi haqida jim turishga majbur qilish uchun pora berishga uringan. Gollandiyaning Nieuwe Rotterdamsche Courant gazetasining yozishicha, kompaniya tadqiqotchilarga zaiflikning jiddiyligini kamaytirgani uchun 40 000 dollar mukofot taklif qilgan. Intel o’z taklifini yanada kuchaytirish uchun qo’shimcha 80 000 dollar bilan o’z taklifini qo’llab-quvvatladi, ammo tadqiqotchilar ikkala taklifni ham xushmuomalalik bilan rad etishdi. Intelning zaiflik mukofoti dasturi yangi zaifliklar aniqlangan taqdirda kompaniyaga yetkaziladigan zararni minimallashtirish uchun mo’ljallangan. Shartlarga ko’ra, agar zaiflikni aniqlagan tadqiqotchi mukofotni qabul qilsa, u avtomatik ravishda oshkor qilmaslik to’g’risidagi kelishuvga rozi bo’ladi. Tadqiqotchiga o’z kashfiyotini hech kimga oshkor qilish yoki uni uchinchi shaxslar bilan muhokama qilish taqiqlanadi. Zaiflik haqida faqat Intelning maxsus, vakolatli xodimlari bilan muloqot qilishga ruxsat beriladi.
Zaiflik haqidagi ma’lumotlar maxfiy bo’lib qolar ekan, kompaniya uni tuzatish uchun vaqtga ega. Intelning tushuntirishicha, agar tajovuzkorlar muammoni yamoq chiqarilishidan oldin aniqlasalar, ularda eksploit yozish va zaiflik orqali zararli dasturlarni tarqatish uchun yetarli vaqt bo’ladi. Biroq, bu argument Amsterdam Vrije Universiteti mutaxassislari tomonidan yetarli emas deb topildi va Intel RIDLni ommaga oshkor qilishga majbur bo’ldi, garchi mikrokod, dasturiy ta’minot va apparat yangilanishlarini chiqarish bo’yicha ishlar endigina boshlangan bo’lsa ham.
