AMD bị cáo buộc "lật lọng" nhà nghiên cứu bảo mật, thay đổi quy tắc có tính hồi tố

Mới đây, cộng đồng công nghệ đang xôn xao trước cáo buộc cho rằng gã khổng lồ phần cứng AMD đã thực hiện hành động "gaslighting" (thao túng tâm lý) đối với một nhà nghiên cứu bảo mật. Vụ việc xoay quanh allegation rằng AMD đã thay đổi các quy tắc của chương trình tiền thưởng tìm lỗi (bug bounty) theo hướng có tính hồi tố để từ chối trao phần thưởng cho người đã phát hiện ra lỗ hổng.

Vụ tranh cãi về tính minh bạch

Theo nội dung được chia sẻ, một nhà nghiên cứu bảo mật đã phát hiện ra lỗ hổng nghiêm trọng trong sản phẩm của AMD và tuân thủ quy trình báo cáo đúng. Tuy nhiên, thay vì được ghi nhận và nhận phần thưởng như thỏa thuận ban đầu, nhà nghiên cứu này cho biết AMD đã thay đổi các quy tắc sau sự việc.

Việc thay đổi quy tắc có tính hồi tố (retroactively) được xem là một hành động thiếu chuyên nghiệp và thiếu công bằng trong ngành công nghiệp. Nó tương đương với việc thay đổi hợp đồng sau khi một bên đã hoàn thành công việc của mình để tránh chi trả chi phí.

Tác động tiêu cực đến hệ sinh thái bảo mật

Sự việc này không chỉ dừng lại ở một tranh chấp cá nhân mà có những hậu quả rộng lớn hơn đối với cộng đồng an ninh mạng:

• Erosion of Trust (Xói mòn niềm tin): Các nhà nghiên cứu bảo mật (white-hat hackers) đóng vai trò quan trọng trong việc giúp các công ty vá lỗi trước khi tin tặc khai thác. Hành động của AMD khiến cộng đồng mất niềm tin và ngần ngại khi hợp tác với hãng này trong tương lai.
• Rủi ro cho người dùng: Nếu các nhà nghiên cứu cảm thấy bị đối xử bất công, họ có thể chọn cách không báo cáo lỗi, hoặc bán lỗ hổng trên thị trường chợ đen thay vì gửi cho nhà sản xuất. Điều này đặt người dùng cuối vào nguy cơ bị tấn công bởi các lỗ hổng chưa được vá.
• Tiền lệ xấu: Việc một ông lớn như AMD bị cáo buộc hành xử như vậy có thể tạo ra tiền lệ xấu, khiến các công ty khác cũng nảy sinh ý định tương tự để cắt giảm chi phí vận hành chương trình bảo mật.

Kêu gọi hành động từ cộng đồng

Vụ việc này là lời nhắc nhở mạnh mẽ về tầm quan trọng của đạo đức kinh doanh và sự tôn trọng đối với những người đang nỗ lực bảo vệ hệ sinh thái công nghệ. Cộng đồng đang chờ đợi một lời giải thích chính thức và minh bạch từ AMD để làm rõ tình hình và khôi phục niềm tin.

Đối với các doanh nghiệp công nghệ, việc duy trì mối quan hệ tốt đẹp với cộng đồng bảo mật không phải là lựa chọn, mà là yếu tố sống còn để đảm bảo an toàn cho sản phẩm và khách hàng.