AMD не выплатила $10 000 за критическую уязвимость — исправление заняло 124 дня

AMD не выполнила обязательства по программе bug bounty, отказавшись выплатить $10 000 исследователю, который обнаружил критическую уязвимость в продукции компании. Согласно источникам, на устранение проблемы ушло 124 дня.

Уязвимость была признана серьёзной, однако AMD сочла, что находка не соответствует условиям программы вознаграждения. Исследователь утверждает, что отказ был необоснованным, и привел аргументы в пользу выплаты.

Программа bug bounty направлена на поощрение специалистов, которые находят уязвимости, чтобы компания могла их исправить до того, как ими воспользуются злоумышленники. Такие инциденты подрывают доверие исследователей к подобным инициативам.

AMD пока не комментирует данный случай. Эксперты по безопасности отмечают, что чёткие критерии выплат и прозрачность процесса — ключевые факторы успеха таких программ.

На данный момент уязвимость исправлена, но отказ в выплате может отпугнуть других специалистов от поиска ошибок в продуктах AMD.