Intel lockt mit doppeltem Bug Bounty:
Forscher wittern Bestechung

Bug Bounty-Programme wandeln manchmal auf einem schmalen Grat zwischen einer effizienten Kontrolle des Informations-Flusses und der Bestechung. Das zeigt der Fall einer kürzlich beschriebenen Sicherheitslücke in Intel-Prozessoren, bei der sich die Sicherheitsforscher lieber doch nicht auf Belohnungszahlungen Intels einlassen wollten. Immer wieder sind in den vergangenen Jahren Sicherheitsprobleme in den Prozessor-Architekturen bekannt geworden. Kürzlich kam die so genannte RIDL-Lücke hinzu, die einmal mehr von Informatikern der Vrije Universiteit Amsterdam beschrieben worden ist. Intel selbst hatte auf die Schwachstelle hingewiesen, deren Details von den Forschern an das Unternehmen kommuniziert worden waren.

Wie aus einem Bericht von TechPowerup hervorgeht, soll Intel den Sicherheitsforschern eine Bug Bounty-Prämie in Höhe von 40.000 Dollar in Aussicht gestellt haben. Als die niederländischen Informatiker sich nicht darauf einlassen wollten, sei es schnell um 80.000 Dollar gegangen. Doch auch diese Offerte sei von den Security-Experten mit aller Klarheit zurückgewiesen worden. Und das aus guten Gründen.

Eine Frage der Perspektive

Denn die Beteiligung am Bug Bounty-Programm ist daran gekoppelt, eine Stillschweige-Vereinbarung zu unterzeichnen. Die Wissenschaftler hätten die Ergebnisse ihrer Forschung also nicht mehr selbst öffentlich präsentieren und erläutern können. Für Intel hat das natürlich den Vorteil, dass das Unternehmen selbst darüber entscheiden kann, was in welcher Form nach außen kommuniziert wird. Im Zweifelsfall kann das dazu führen, dass die möglichen Auswirkungen der Schwachstelle auch mal unter den Teppich gekehrt werden.

Für die beteiligten Wissenschaftler fühlte sich daher insbesondere die deutliche Erhöhung des Angebotes im Grunde nach Bestechung an, mit der sie dazu gebracht werden sollten, nicht unabhängig vom Hersteller über die Probleme in der Architektur zu sprechen. Das Interesse des Unternehmens liegt hier auf der Hand: Es geht immerhin um einen milliardenschweren Markt. Intel will daher auch nichts von unredlichen Angeboten wissen und verweist auf die allgemein gültigen Regelungen seines Bug Bounty-Programms.

Siehe auch: Die Zombies kommen: Neue Schwachstellen-Art in Intel-CPUs entdeckt