Intel ha annunciato un programma di "bug bounty", il primo per il colosso dei microchip, tramite il quale ricompenserà chiunque troverà vulnerabilità nei propri chip, firmware o software. Il programma, in collaborazione con HackerOne, è stato annunciato alla conferenza di sicurezza CanSecWest di Vancouver.
"Vogliamo incoraggiare i ricercatori a identificare problemi e segnalarceli direttamente in modo che possiamo compiere i passi necessari per valutarli e correggerli, e vogliamo premiare i ricercatori per il lavoro che svolgono quando ricercano una vulnerabilità", ha affermato Intel. "Collaborando in modo costruttivo con la comunità dei ricercatori di sicurezza crediamo che saremo in grado di proteggere meglio i nostri clienti".
| Livello vulnerabilità | Intel Software | Intel Firmware | Intel Hardware |
|---|---|---|---|
| Critical | fino a $7.500 | fino a $10.000 | fino a $30.000 |
| High | fino a $2.500 | fino a $5.000 | fino a $10.000 |
| Medium | fino a $1.000 | fino a $1.500 | fino a $2.000 |
| Low | fino a $500 | fino a $500 | fino a $1.000 |
Più grave e difficile da risolvere sarà la vulnerabilità scovata, più Intel pagherà. I bug critici frutteranno fino a 7500 dollari se riguarderanno il software, fino a 10.000 dollari nel caso del firmware e fino a 30.000 dollari se la falla riguarderà l'hardware. Ovviamente ci saranno riconoscimenti in denaro anche per vulnerabilità di livello basso, medio e alto, anche se meno generosi.
Non fanno parte del programma di bug bounty i prodotti di Intel Security (McAfee), l'infrastruttura web di Intel e altri software di terze parti.