AMD se niega a pagar los 10.000 dólares de recompensa a un desarrollador que encontró un grave bug en su software
Los programas de recompensas son como los seguros: siempre encuentran una excusa para no pagar. Un desarrollador explica su experiencia.
Todas las compañías de software importantes tienen un programa de recompensas que paga dinero a los desarrolladores que encuentren fallos. El de AMD es un poco quisquilloso, pues se ha negado a pagar 10.000 dólares a un programador que ha encontrado un peligroso bug en su software.
Un desarrollador de Nueva Zelanda llamado Paul, descubrió una vulnerabilidad en el autoupdater de AMD que permite un ataque tipo “Hombre en el medio”, con el que es posible colar malware en un PC, o espiar.
Según el programa de recompensas de AMD, le correspondería una recompensa de 10.000 dólares. Pero AMD se la negó, alegando que el Autoupdater en un sofware secundario, y que este ataque de “Hombre en el medio” no entra en las recompensas porque exige manipular físicamente el ordenador de la víctima. Es decir, no se puede hacer en remoto. Sin embargo, sigue siendo un bug grave que permite hackear un ordenador. ¿Hay bugs graves de primera y segunda categoría? Todo se volvió aún más extraño.
Un programa de recompensas de AMD, sin recompensas
Un ataque de "Hombre en el medio" quiere decir que el hacker intercepta la comunicación entre dos ordenadores o conexiones, para robar datos, o manipularla. Imagina que le envías una carta a un amigo, pero el cartero la intercepta, la lee, la modifica, y vuelve a cerrar la carta para que el receptor no se entere. Eso es un ataque tipo Hombre en el medio.
En informática, es un hackeo grave. Pero AMD rechazó incluso revisar el bug, alegando que estaba fuera del programa de recompensas. Así que Paul detalló la vulnerabilidad en su blog, y lo publicó en Hacker News. A los dos días, AMD volvió a contactarle, comentándole que revisarían el bug. Le pidió al desarrollador quitar el fallo de su blog, alegando que vulnera las reglas del programa de recompensas. Pese a seguir diciendo que no tenía derecho a recompensa. ¿En qué quedamos?
Según Paul, el bug era tan sencillo de arreglar como añadir la “s” a dos direcciones web, para protegerlas con https. Se tarda segundos en arreglarlo. AMD tardó 124 días. Y no lo hizo muy bien.
Al parecer, el parche no funciona si lo aplicas con el software viejo instalado. Para que sea efectivo, tienes que desinstalar por completo el software Auto Update de AMD que actualiza automáticamente los drivers de la tarjeta gráfica, procesador, etc., descargar la última versión, e instalarla desde cero.
En el documento del bug, AMD le otorga una peligrosidad de 7,7 sobre 10, pero parece que eso no es suficiente para pagar una recompensa. Eso sí, en el documento agradece a Paul su aportación…
“Hasta ahora, por las vulnerabilidades que he notificado a Google, Asus, AMD, TP-Link, MSI (y otras empresas), he recibido un total de cero dólares”, se lamenta este desarrollador. Hablamos de algunas de las compañías más ricas del mundo, cuyo prestigio y negocio depende de que su software sea seguro.