ดราม่าวงการความปลอดภัยไซเบอร์ เมื่อ AMD ปฏิเสธการจ่ายรางวัลให้แฮกเกอร์

เรื่องราวเริ่มต้นจากนักวิจัยความปลอดภัยรายหนึ่งที่ค้นพบช่องโหว่ร้ายแรงในซอฟต์แวร์ของ AMD โดยเจ้าตัวได้ส่งรายงานเข้าไปในโครงการ Bug Bounty ของบริษัทเพื่อหวังจะได้รับค่าตอบแทนจำนวน 10,000 ดอลลาร์ ตามเกณฑ์มาตรฐานที่ตั้งไว้ แต่สิ่งที่ได้รับกลับมาคือความผิดหวังเมื่อทาง AMD ปฏิเสธการจ่ายเงินรางวัลดังกล่าว โดยอ้างว่าข้อผิดพลาดที่พบไม่อยู่ในเงื่อนไขการคุ้มครองของโปรแกรม

สถานการณ์บานปลายยิ่งขึ้นเมื่อมีการเปิดเผยว่าช่องโหว่นี้ใช้เวลาแก้ไขนานถึง 124 วัน แม้ว่าในระหว่างกระบวนการ AMD จะมีการขอให้นักวิจัยถอดโพสต์บล็อกที่เผยรายละเอียดเกี่ยวกับช่องโหว่ออกไปก่อนชั่วคราว เพื่อให้ทีมงานจัดการแก้ไขปัญหาให้เสร็จสิ้นและออกประกาศความปลอดภัยอย่างเป็นทางการ แต่สุดท้ายกลับกลายเป็นการทำลายความเชื่อใจของเหล่านักล่าบั๊กในวงการอย่างรุนแรง

แหล่งข่าวระบุว่าทางบริษัทเลือกใช้วิธีเปลี่ยนเงื่อนไขการเข้าร่วมโครงการแบบย้อนหลัง ซึ่งสร้างความไม่พอใจให้กับนักวิจัยเป็นอย่างมาก เพราะนี่ไม่ใช่การตัดสินด้วยเกณฑ์เดิมที่เคยแจ้งไว้ตอนแรก การกระทำในลักษณะนี้ถูกมองว่าเป็นความพยายามบิดเบือนกฎเกณฑ์เพื่อหลีกเลี่ยงการจ่ายเงินรางวัลที่ควรจะเป็นสำหรับงานวิจัยที่ต้องใช้ทั้งทักษะและเวลาในการค้นหา

ช่องโหว่ที่ถูกพบนั้นเกี่ยวข้องกับการอัปเดตอัตโนมัติในซอฟต์แวร์ Ryzen Master ซึ่งหากถูกโจมตีอาจเปิดช่องให้ผู้ไม่หวังดีเข้ามาควบคุมระบบผ่านการโจมตีแบบ man-in-the-middle ได้ การแก้ไขปัญหาในส่วนนี้ทำได้เพียงการเปลี่ยนจาก http เป็น https ในโค้ดเท่านั้น ซึ่งทำให้หลายคนตั้งคำถามว่าเหตุใดบริษัทถึงใช้เวลานานและมีการจัดการที่สับสนเช่นนี้ ทั้งที่มันเป็นเรื่องความปลอดภัยของผู้ใช้งานโน้ตบุ๊กและคอมพิวเตอร์ทั่วโลก

เหตุการณ์นี้กลายเป็นบทเรียนสำคัญสำหรับเหล่านักวิจัยอิสระว่า การส่งมอบงานวิจัยโดยไม่มีสัญญาหรือข้อตกลงเรื่องค่าตอบแทนที่ชัดเจนนั้นมีความเสี่ยงสูงเพียงใด หลายเสียงในชุมชนความปลอดภัยไซเบอร์ต่างออกมาวิจารณ์ AMD ว่าการกระทำเช่นนี้อาจส่งผลเสียต่อความสัมพันธ์ระหว่างบริษัทกับชุมชนนักวิจัยในระยะยาว เพราะหากไม่มีความโปร่งใส ย่อมยากที่จะได้รับความร่วมมือที่ดีจากคนเก่งๆ ในอนาคต

สำหรับผู้ที่ใช้งานอุปกรณ์ของ AMD โดยเฉพาะโน้ตบุ๊กและพีซีที่ติดตั้งซอฟต์แวร์จัดการระบบ แนะนำให้หมั่นตรวจสอบและอัปเดตเป็นเวอร์ชันล่าสุดเสมอ แม้ดราม่าเรื่องการจ่ายเงินรางวัลจะยังเป็นประเด็นถกเถียง แต่สิ่งสำคัญที่สุดคือการป้องกันระบบของตนเองให้ปลอดภัยจากช่องโหว่ที่อาจเกิดขึ้นได้ตลอดเวลาในโลกดิจิทัลยุคปัจจุบัน