Исследователь безопасности обнаружил критическую уязвимость в системе обновлений драйверов AMD, позволявшую удаленно выполнять код через атаку типа «человек посередине». Несмотря на подтвержденную угрозу и оперативное уведомление, компания отказалась выплачивать обещанное вознаграждение в 10 000 долларов, сославшись на внутренние правила программы поощрений.
Разработчик нашел способ перехвата данных в процессе обновления ПО AMD, что открывало путь к выполнению произвольного кода на устройствах пользователей. В рамках программы Bug Bounty он отправил подробный отчет, ожидая стандартной выплаты за уязвимость уровня RCE. В компании заявку отклонили, аргументировав отказ тем, что подобные сценарии MITM формально не подпадают под критерии их политики выплат.Процесс устранения бага растянулся на 124 дня. Исследователь неоднократно сталкивался с задержками и переносами сроков, пока инженеры расширяли область затронутых компонентов. Вопреки соблюдению условий эмбарго и временному удалению публикации об ошибке, автор отчета не получил никакой финансовой компенсации за проделанную работу. Сама уязвимость в итоге была исправлена, но конфликт вокруг условий выплат остался неразрешенным.
Комментарии (0)
Пока нет комментариев. Будьте первым!