AMD ha stretto una partnership con Intigriti, un fornitore di servizi di sicurezza crowdsourced, per lanciare un nuovo programma di bug bounty. Questo programma permette a ricercatori specializzati in sicurezza informatica, hacker etici e altri esperti del pubblico generale di segnalare bug nell'hardware, firmware o software di AMD tramite la piattaforma Intigriti e ottenere una ricompensa monetaria per i loro sforzi.
Con l'espansione di questo programma al pubblico, i ricercatori provenienti da diversi ambiti potrebbero essere incentivati a trovare problemi nei prodotti AMD. Questo dovrebbe ampliare il bacino di tester e includere esperti di campi che AMD non aveva pensato di includere nei suoi test privati.
Le ricompense offerte da AMD sulla piattaforma Intigriti variano a seconda della gravità del bug e della categoria del prodotto. È anche possibile inviare segnalazioni di bug direttamente al team di sicurezza dei prodotti AMD, ma in questo caso non vi è garanzia di ottenere un compenso, anche se il ricercatore sarà menzionato nel bollettino di sicurezza pubblicato.
Ecco una panoramica delle ricompense offerte da AMD:
| Gravità del Bug | Minima | Media | Alta | Critica |
|---|---|---|---|---|
| Hardware | $2,000 | $5,000 | $15,000 | $30,000 |
| Firmware | $1,000 | $3,000 | $9,000 | $15,000 |
| Software | $500 | $1,500 | $5,000 | $10,000 |
I programmi di bug bounty sono cruciali per molte aziende tecnologiche, specialmente quelle con prodotti e servizi ampiamente utilizzati e che potrebbero influenzare milioni di clienti. AMD non è estranea ai bug, come dimostrano alcuni recenti problemi tra cui: i processori AMD Ryzen 7000 che si sciolgono nei loro alloggiamenti (2023), gravi vulnerabilità nei BIOS dai processori Zen originali fino agli ultimi Zen 4, e i limiti di overclocking non intenzionali impostati sulle GPU RX 7900 GRE.
I programmi di bug bounty potrebbero aiutare AMD a scoprire questi problemi potenziali prima che diventino di dominio pubblico. Altre grandi aziende del settore PC hanno programmi simili per garantire che i loro sistemi e prodotti siano sicuri da vulnerabilità sconosciute. Intel, ad esempio, ha il programma Project Circuit Breaker, che invita i membri della comunità a lavorare con il personale Intel per scoprire difetti nei suoi prodotti.
Oltre a beneficiare l'azienda, i cacciatori di bug di successo possono guadagnare molto dal loro lavoro. Secondo un rapporto del 2020, gli hacker potrebbero guadagnare ben oltre $90,000 solo partecipando a questo tipo di programmi.
Nel 2023, Google ha pagato almeno $10 milioni in bug bounty, mentre Polygon Technology ha pagato $2 milioni a un ricercatore per aver scoperto un difetto critico.
Se sei un esperto nel campo, potresti guadagnare bene come cacciatore di bug bounty. Questo non solo aiuterebbe a proteggere gli utenti finali scoprendo vulnerabilità, ma potresti essere pagato generosamente per farlo. Il bello è che non devi farlo come lavoro a tempo pieno; puoi farlo al tuo ritmo, come attività secondaria o persino come hobby. Non male eh?