Společnost AMD má menší kauzu. Týká se jejího bug-bounty programu, kdy výzkumníkovi odmítla zaplatit odměnu. Nejprve to nespadalo pod program, později měl navíc porušit dodatečně stanovené podmínky.
Spousta společností má tzv. bug-bounty programy, kdy bezpečnostním výzkumníkům a každému, kdo přijde na bezpečnostní chyby v jejích produktech dle stanovených pravidel, může vyplatit finanční odměnu. 22letý výzkumník známý pod jménem McBruh takto odhalil chybu v softwaru společnosti AMD, která dovolovala MITM útoky (Man In The Middle). Jinak řečeno, umožňuje v průběhu komunikace podvrhnout falešná data, aniž by se o tom příjemce dozvěděl.
V tomto případě šlo o to, že aplikace jako AMD Management Console, AMD Ryzen Master a AMD µProf sice komunikovaly přes zabezpečený protokol HTTPS, ale samotné odkazy na stáhnutelné soubory už běžely přes nezabezpečené HTTP. To je snadno zneužitelná bezpečnostní chyba a McBruh by za její objevení měl získat odměnu okolo 10 tisíc USD. S tím byl ale problém.
McBruh chybu objevil 27. ledna a 6. února o ní informoval AMD přes jeho bug-bounty program. To ale řeklo, že tato chyba (MITM) pod program nespadá a týká se volitelného softwaru, tedy odměnu odmítlo vyplatit i přesto, že chyba nakonec dostala označení CVE-2026-40677 a získala i poměrně závažné hodnocení rizikovosti CVSS 4.0 v hodnotě 7,7.
Embargo skončilo 9. června a McBruh o chybě informoval na svém blogu. AMD ho ale kontaktovalo, ať článek stáhne, že oprava ani po 4 měsících není hotová a že toto zveřejnění odporuje podmínkám programu, kdy nelze informovat o chybách bez výslovného souhlasu AMD. Jenže tato podmínka se v programu objevila až po zveřejnění. AMD nyní alespoň u popisu chyby zveřejnilo jméno výzkumníka.
