Компания Intel представила программу выплаты вознаграждений за поиск уязвимостей
Компания Intel представила новую инициативу по выплате вознаграждений за выявление уязвимостей в своих продуктах. В отличие от ранее действовавшей программы, участники которой отбирались по приглашениям, в новой программе может принять участие любой исследователь безопасности. Максимальный размер вознаграждения за уязвимости увеличен до 100 тысяч долларов (минимальная премия - $500). Для атак на оборудования по сторонним каналам, таким как Meltdown, учреждена отдельная премия, выплаты по которой составляют от 5 до 250 тысяч долларов.
Размер выплаты сильно зависит от уровня опасности уязвимости (CVSS) и типа продукта. За критическую уязвимость (CVSS 9.0 - 10.0) в программном обеспечении (драйверы, приложения и утилиты, за исключением открытых проектов) максимальная премия составляет $10000, в прошивках (UEFI BIOS, Intel ME, BMC, прошивки SSD-накопителей) - $30000, в оборудовании (CPU, сетевые карты, материнские платы, SSD, FPGA и т. п.) - $100000, в оборудовании при атаке через ПО по сторонним каналам - $250000.
Для опасных уязвимостей (CVSS 7.0 - 8.9) размер выплат может доходить до $5000, $15000, $30000 и $100000 соответственно. Для уязвимостей средней опасности (CVSS 4.0 - 6.9) выплаты могут доходить до $1500, $3000, $5000 и $20000, а для неопасных проблем (CVSS 0.1 - 3.9) до $500, $1000, $2000 и $5000. Например, для Meltdown и Spectre уровень опасности был определен в 5.9, что соответствует выплате в 20 тысяч долларов.