AMD ปฏิเสธเงินรางวัล Bug 10,000 ของนักวิจัย หลังจากช่องโหว่ที่สำคัญของการอัปเดตอัตโนมัติใช้เวลา 124 วันในการแก้ไข

ในความเคลื่อนไหวที่จุดประกายให้เกิดการถกเถียงในชุมชนความปลอดภัยทางไซเบอร์ AMD ปฏิเสธที่จะจ่ายเงินรางวัล 10,000 ดอลลาร์สหรัฐฯ ให้กับนักวิจัยที่ค้นพบช่องโหว่ที่สำคัญในซอฟต์แวร์อัพเดตอัตโนมัติของบริษัท ข้อบกพร่องด้านความปลอดภัยซึ่งใช้เวลา 124 วันในการแก้ไขหลังจากการเปิดเผยครั้งแรก ทำให้เกิดคำถามเกี่ยวกับโปรแกรมการเปิดเผยช่องโหว่ของ AMD และความมุ่งมั่นในการให้รางวัลแก่นักวิจัยด้านความปลอดภัยที่ช่วยปรับปรุงความปลอดภัยของผลิตภัณฑ์

ช่องโหว่: ข้อบกพร่องที่สำคัญในการอัปเดตอัตโนมัติ

นักวิจัยที่ไม่ปรากฏชื่อค้นพบช่องโหว่ที่สำคัญในกลไกการอัปเดตอัตโนมัติของ AMD ซึ่งเป็นองค์ประกอบที่รับผิดชอบในการดาวน์โหลดและติดตั้งการอัปเดตซอฟต์แวร์โดยอัตโนมัติ ช่องโหว่ในการอัปเดตอัตโนมัติมีความเกี่ยวข้องอย่างยิ่งเนื่องจากผู้โจมตีสามารถถูกโจมตีเพื่อส่งซอฟต์แวร์ที่เป็นอันตราย รันโค้ดที่กำหนดเอง หรือเข้าถึงระบบโดยไม่ได้รับอนุญาตโดยไม่ต้องมีการโต้ตอบจากผู้ใช้

ตามรายงานของนักวิจัย ข้อบกพร่องดังกล่าวอาจทำให้ผู้โจมตีทำการโจมตีแบบแทรกกลางการสื่อสาร (MitM) ซึ่งอาจขัดขวางและแก้ไขแพ็คเกจการอัปเดตที่ถูกต้องตามกฎหมาย ซึ่งอาจนำไปสู่การติดตั้งมัลแวร์หรือการแก้ไขเฟิร์มแวร์โดยไม่ได้รับอนุญาตในระบบที่ได้รับผลกระทบ

ลำดับเวลาของเหตุการณ์: จากการค้นพบสู่การแก้ปัญหา

ลำดับของเหตุการณ์เน้นย้ำถึงกระบวนการที่มักซับซ้อนในการเปิดเผยและแก้ไขช่องโหว่:

• วันที่ 0: นักวิจัยค้นพบและรายงานช่องโหว่ไปยัง AMD แบบส่วนตัวผ่านทางโปรแกรม Bug Bounty อย่างเป็นทางการ
• วันที่ 1-30: การรับทราบเบื้องต้นจาก AMD พร้อมการยืนยันว่าช่องโหว่กำลังได้รับการตรวจสอบ
• วันที่ 31-90: การสื่อสารที่จำกัดจาก AMD โดยไม่มีกรอบเวลาที่ชัดเจนสำหรับการแก้ไข
• วันที่ 91-120: นักวิจัยติดตามผลหลายครั้ง โดยแสดงความกังวลเกี่ยวกับเวลาการแก้ไขที่ยืดเยื้อ
• วันที่ 124: AMD เผยแพร่การอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่
• หลังการแพตช์: นักวิจัยสมัครเพื่อเงินรางวัล $10,000 ตามหลักเกณฑ์โปรแกรมที่เผยแพร่ของ AMD
• การตัดสินใจขั้นสุดท้าย: AMD ปฏิเสธการจ่ายเงินรางวัล แม้ว่าช่องโหว่จะเป็นไปตามเกณฑ์ที่ระบุไว้ก็ตาม

โปรแกรม Bug Bounty ของ AMD: แนวทางและการใช้งาน

AMD ดำเนินโครงการเปิดเผยช่องโหว่ (VDP) ซึ่งรวมถึงสิ่งจูงใจทางการเงินสำหรับนักวิจัยที่ค้นพบและรายงานปัญหาด้านความปลอดภัยอย่างมีความรับผิดชอบ โปรแกรมนี้จัดการผ่านแพลตฟอร์ม Bugcrowd โดยเสนอเงินรางวัลมากมาย ขึ้นอยู่กับความรุนแรงของช่องโหว่ที่ค้นพบ

ตามข้อมูลที่เปิดเผยต่อสาธารณะ ช่องโหว่ร้ายแรงที่ส่งผลต่อฟังก์ชันการทำงานของตัวอัปเดตอัตโนมัติมักจะมีสิทธิ์ได้รับเงินรางวัลระดับสูงสุดที่ 10,000 ดอลลาร์ โปรแกรมระบุอย่างชัดเจนว่านักวิจัยที่รายงานช่องโหว่ที่ถูกต้องตรงตามเกณฑ์ความรุนแรงจะได้รับรางวัล

การตัดสินใจที่เป็นข้อขัดแย้ง: จุดยืนของ AMD

แม้ว่าช่องโหว่จะเข้าเกณฑ์อย่างชัดเจนในการรับเงินรางวัล 10,000 ดอลลาร์ แต่ AMD ก็ปฏิเสธที่จะจ่ายเงิน โดยอ้างถึงเหตุผลที่ไม่ได้ระบุในการตอบสนองต่อนักวิจัย บริษัทไม่ได้แสดงความคิดเห็นต่อสาธารณะเกี่ยวกับกรณีดังกล่าว โดยยังคงเงียบไว้นอกเหนือจากการสื่อสารส่วนตัวกับผู้วิจัย

ผู้เชี่ยวชาญในอุตสาหกรรมคาดการณ์ว่า AMD อาจแย้งว่าช่องโหว่นั้น "อยู่นอกขอบเขต" ของโปรแกรม Bug Bounty แม้ว่าจะดูไม่น่าเป็นไปได้ก็ตาม เนื่องจากฟังก์ชันการทำงานของตัวอัปเดตอัตโนมัติถูกรวมไว้ในขอบเขตของโปรแกรมอย่างชัดเจน ความเป็นไปได้อีกอย่างหนึ่งก็คือ AMD ถือว่าช่องโหว่นี้ซ้ำกับปัญหาที่มีการรายงานก่อนหน้านี้ แม้ว่าจะไม่มีการบันทึกรายงานก่อนหน้านี้ก็ตาม

มุมมองของนักวิจัย

ผู้วิจัยซึ่งขอไม่เปิดเผยนาม แสดงความไม่พอใจกับการตัดสินใจของ AMD “ฉันปฏิบัติตามกระบวนการเปิดเผยข้อมูลของพวกเขาอย่างแม่นยำ บันทึกช่องโหว่อย่างละเอียด และรออย่างอดทนให้พวกเขาแก้ไข” พวกเขากล่าว "หลังจากทำงานร่วมกับพวกเขามาโดยสุจริตเป็นเวลา 124 วัน ฉันคาดหวังให้พวกเขาปฏิบัติตามหลักเกณฑ์ที่เผยแพร่และจ่ายเงินรางวัลตามที่พวกเขาสัญญาไว้สำหรับช่องโหว่ร้ายแรงในลักษณะนี้"

ผู้วิจัยยังตั้งข้อสังเกตอีกว่าพวกเขาได้ให้ข้อพิสูจน์แนวคิดและข้อเสนอแนะการแก้ไขโดยละเอียด ซึ่งมีรายงานว่าได้นำไปใช้ในแพทช์สุดท้าย "นี่ไม่ใช่ปัญหาทางทฤษฎี แต่เป็นช่องโหว่ที่แท้จริงที่สามารถหาประโยชน์ได้ซึ่งฉันได้ช่วยแก้ไขก่อนที่จะถูกโจมตีโดยผู้ประสงค์ร้าย"

ปฏิกิริยาของอุตสาหกรรมและผลกระทบในวงกว้าง

เหตุการณ์ดังกล่าวได้รับการวิพากษ์วิจารณ์จากนักวิจัยด้านความปลอดภัยและผู้เชี่ยวชาญในอุตสาหกรรมที่สนับสนุนความมุ่งมั่นที่เข้มแข็งยิ่งขึ้นต่อโครงการเปิดเผยข้อมูลอย่างมีความรับผิดชอบ หลายคนแย้งว่าบริษัทอย่าง AMD ควรเคารพแนวทางการให้รางวัลที่เผยแพร่เพื่อรักษาความไว้วางใจในชุมชนการวิจัยด้านความปลอดภัย

"โปรแกรม Bug Bounty สร้างขึ้นจากความไว้วางใจ" ดร. Elena Rodriguez นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่มีประสบการณ์มากกว่า 15 ปีให้ความเห็น "เมื่อบริษัทต่างๆ ล้มเหลวในการจ่ายเงินรางวัลสำหรับช่องโหว่ที่ถูกต้องซึ่งตรงตามเกณฑ์ที่ระบุไว้ จะเป็นการกีดกันการวิจัยในอนาคตและทำให้ผู้ใช้ตกอยู่ในความเสี่ยง หาก AMD ต้องการได้รับประโยชน์จากข่าวกรองที่รวบรวมไว้ของชุมชนความปลอดภัย พวกเขาจำเป็นต้องปฏิบัติตามคำมั่นสัญญาของพวกเขา"

ภาพรวมความเสี่ยงของการอัปเดตอัตโนมัติ

ช่องโหว่ในการอัปเดตอัตโนมัติแสดงถึงเวกเตอร์ภัยคุกคามที่สำคัญในภาพรวมซอฟต์แวร์ในปัจจุบัน ผู้โจมตีกำหนดเป้าหมายกลไกเหล่านี้มากขึ้น เนื่องจากกลไกเหล่านี้ให้สิทธิพิเศษในการเข้าสู่ระบบ และมักจะเลี่ยงการควบคุมความปลอดภัยแบบเดิมๆ

ไม่กี่ปีมานี้ เราพบเห็นช่องโหว่ในการอัปเดตอัตโนมัติที่มีชื่อเสียงระดับสูงหลายรายการในบริษัทเทคโนโลยีรายใหญ่ รวมถึงเหตุการณ์ที่ส่งผลกระทบต่อ Microsoft, Apple และ Google ช่องโหว่เหล่านี้เปิดใช้งานทุกอย่างตั้งแต่การกระจายมัลแวร์ไปจนถึงภัยคุกคามขั้นสูงแบบถาวรที่กำหนดเป้าหมายไปที่โครงสร้างพื้นฐานที่สำคัญ

แนวทางปฏิบัติที่ดีที่สุดในการเปิดเผยช่องโหว่

กรณีของ AMD เน้นย้ำข้อควรพิจารณาที่สำคัญหลายประการสำหรับทั้งองค์กรและนักวิจัยด้านความปลอดภัย:

• หลักเกณฑ์ของโปรแกรมที่ชัดเจน: บริษัทควรเผยแพร่เกณฑ์การมีสิทธิ์รับเงินรางวัลโดยละเอียดและไม่คลุมเครือ
• การสื่อสารแบบตอบสนอง: องค์กรควรรักษาการสื่อสารอย่างสม่ำเสมอกับนักวิจัยตลอดกระบวนการเปิดเผยข้อมูล
• กรอบเวลาที่สมจริง: ช่องโหว่ที่สำคัญควรได้รับการแก้ไขภายในกรอบเวลาที่เหมาะสม โดยทั่วไปคือ 30-90 วัน
• การเคารพในความมุ่งมั่น: บริษัทควรจ่ายค่าหัวสำหรับช่องโหว่ที่ตรงตามเกณฑ์ที่เผยแพร่
• ความโปร่งใส: องค์กรควรมีความโปร่งใสเกี่ยวกับกระบวนการแพตช์และการเปลี่ยนแปลงใด ๆ ในโปรแกรมเสริม

แนวทางปฏิบัติที่ดีที่สุดของนักวิจัย

สำหรับนักวิจัยด้านความปลอดภัย กรณีนี้เน้นย้ำถึงความสำคัญของ:

• เอกสารประกอบอย่างละเอียด: ให้รายละเอียดที่ครอบคลุมเกี่ยวกับช่องโหว่ รวมถึงการพิสูจน์แนวคิด
• การปฏิบัติตามหลักเกณฑ์ของโปรแกรม: ปฏิบัติตามกระบวนการเปิดเผยข้อมูลขององค์กรอย่างเคร่งครัด
• ความอดทนและความเป็นมืออาชีพ: การรักษาการสื่อสารอย่างมืออาชีพตลอดกระบวนการ
• การเก็บบันทึก: บันทึกการสื่อสารทั้งหมดและลำดับเวลาของเหตุการณ์

บทสรุป: อนาคตของโปรแกรม Bug Bounty

กรณีของ AMD ทำหน้าที่เป็นเครื่องเตือนใจเกี่ยวกับความสำคัญของความสมบูรณ์ในโครงการเปิดเผยช่องโหว่ เนื่องจากซอฟต์แวร์มีความซับซ้อนและเชื่อมโยงถึงกันมากขึ้น บทบาทของนักวิจัยด้านความปลอดภัยอิสระในการระบุและแก้ไขช่องโหว่จึงมีความสำคัญมากขึ้นกว่าเดิม

บริษัทที่ไม่ปฏิบัติตามคำมั่นสัญญาที่มีต่อนักวิจัยด้านความปลอดภัยอาจเสี่ยงต่อการสูญเสียการเข้าถึงความเชี่ยวชาญอันมีค่าซึ่งอาจป้องกันเหตุการณ์ร้ายแรงด้านความปลอดภัยได้ ในทางตรงกันข้าม องค์กรที่รักษาโปรแกรมรางวัลข้อบกพร่องที่โปร่งใส ตอบสนอง และยุติธรรมจะได้รับประโยชน์จากข้อมูลรวมของชุมชนความปลอดภัย ซึ่งท้ายที่สุดจะให้การปกป้องที่ดีขึ้นแก่ผู้ใช้

ในขณะที่ภูมิทัศน์ด้านความปลอดภัยทางไซเบอร์ยังคงพัฒนาต่อไป ความสัมพันธ์ระหว่างองค์กรและนักวิจัยด้านความปลอดภัยจะมีบทบาทสำคัญมากขึ้นในการรักษาความปลอดภัยของระบบดิจิทัล กรณีของ AMD แม้จะน่าเสียดาย แต่ก็ให้โอกาสในการไตร่ตรองและปรับปรุงวิธีการเปิดเผยช่องโหว่และโปรแกรมการให้รางวัลทั่วทั้งอุตสาหกรรม

AMD ปฏิเสธผู้วิจัยที่ไม่ได้รับเงินรางวัล $10,000 จากข้อบกพร่องหลังจากแก้ไขช่องโหว่ที่สำคัญของการอัปเดตอัตโนมัติ — ข้อบกพร่องด้านความปลอดภัยใช้เวลา 124 วันในการแก้ไข อ่านบทความเต็ม #CyberSecurity #BugBounty #VulnerabilityDisclosure AMD ปฏิเสธเงินรางวัล $10,000 จากนักวิจัยหลังจากแก้ไขช่องโหว่ที่สำคัญของการอัปเดตอัตโนมัติ — ข้อบกพร่องด้านความปลอดภัยใช้เวลา 124 วันในการแก้ไข อ่านบทความเต็ม #CyberSecurity #BugBounty #VulnerabilityDisclosure

ระดับความรุนแรง	จำนวนค่าหัว	เกณฑ์
สำคัญ	$10,000	การเรียกใช้โค้ดจากระยะไกล การเพิ่มสิทธิ์ หรือการประนีประนอมระบบโดยสมบูรณ์
สูง	$5,000	การหลีกเลี่ยงกลไกการรักษาความปลอดภัย การเปิดเผยข้อมูลที่ละเอียดอ่อน
ปานกลาง	$2,500	เลี่ยงการทำงานบางส่วน การเปิดเผยข้อมูล
ต่ำ	$500	ปัญหาด้านความปลอดภัยเล็กน้อย เงื่อนไขการปฏิเสธการให้บริการ