Intel ® | Bug Bounty Program
Encripte sus informes de vulnerabilidad con GnuPG o PGP utilizando la clave pública PGP de Intel Product Security Incident Response Team, que se puede encontrar en www.intel.com/security. Si tiene problemas para encriptar su informe de vulnerabilidad, envíe un mensaje a secure@intel.com para identificar un método para enviar el informe de vulnerabilidad de manera segura.
Para que un informe sea válido debe cumplir los siguientes requerimientos:
- Debe estar encriptado con la clave pública PGP Intel PSIRT
- Debe pertenecer a la lista de "Productos y tecnologías elegibles de Intel"
- Debe haberse probado con la versión más reciente disponible públicamente del producto o tecnología afectada.
- Debe incluir su cadena de vectores y puntuación utilizando una de las calculadoras CVSS v3 aprobadas.
Productos y tecnologías elegibles de Intel
Intel Hardware
- Procesador (inclusive micro-code ROM + updates)
- Chipset
- FPGA
- Networking / Communication
- Motherboard / System (ejm. Intel Compute Stick, NUC)
- Solid State Drives
Intel Firmware
- UEFI BIOS
- Intel® Management Engine
- Baseboard Management Controller (BMC)
- Motherboard / System (ejem. Intel Compute Stick)
- Solid State Drives
Intel Software
- Device driver
- Application
- Tool
Informes y pagos
Los premios son mayores para informes bien escritos con instrucciones precisas para su reproducción y prueba de concepto (PoC).
Intel otorgará un premio de $500 a $100,000 USD dependiendo de la naturaleza de la vulnerabilidad y la calidad y el contenido del informe.
El primer informe externo recibido sobre una vulnerabilidad conocida internamente recibirá un premio máximo de $1,500 USD.
Las calculadoras CVSS aprobadas que pueden usarse para determinar la gravedad de las vulnerabilidades informadas serán la calculadora NVD CVSSv3 (https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator) o la calculadora FIRST CVSSv3 (https://www.first.org/cvss/calculator/3.0) a exclusivo criterio de Intel.
Intel reconocerá públicamente a los investigadores de seguridad en el momento de la divulgación pública de la vulnerabilidad, si el investigador así lo desea.
Gravedad de la vulnerabilidad |
Intel Software |
Intel Firmware |
Intel Hardware |
|---|---|---|---|
Critica (9.0 - 10.0) |
Hasta $10,000 |
Hasta $30,000 |
Hasta $100,000 |
Alta (7.0 - 8.9) |
Hasta $5,000 |
Hasta $15,000 |
Hasta $30,000 |
Moderada (4.0 - 6.9) |
Hasta $1,500 |
Hasta $3,000 |
Hasta $5,000 |
Baja (0.1 - 3.9) |
Hasta $500 |
Hasta $1,000 |
Hasta $2,000 |
Fuera de alcance del programa
- La infraestructura web de Intel quedan fuera de alcance del programa. Envíe informes de vulnerabilidad de seguridad contra el dominio principal intel.com y subdominios a external.security.research@intel.com.a
- Las aplicaciones gratuitas de Intel están fuera de alcance.
- Las adquisiciones recientes de Intel (por un período mínimo de 6 meses después de que se complete la adquisición) están fuera del alcance del programa Bug Bounty.
- Los proyectos de software de código abierto mantenidos por Intel así como los productos de la antigua subsidiaria de Intel McAfee quedan fuera del alcance.
Informar de una vulnerabilidad
Si tiene información sobre vulnerabilidad con un producto o tecnología de la marca Intel, envíe un correo electrónico a secure@intel.com. Cifre la información con nuestra clave pública PGP.
Fuente: https://www.intel.com/content/www/us/en/security-center/bug-bounty-program.html
Entradas
No hay comentarios