Het bedrijf, genaamd CTS, dat dinsdag voor verwarring zorgde door onderzoek naar geclaimde kwetsbaarheden in AMD's Ryzen- en Epyc-platformen heeft in een open brief zijn zienswijze kenbaar gemaakt over de wijze van publicatie.
De open brief is toegevoegd aan de site waarop het Israëlische bedrijf zijn informatie publiceerde. Daarin erkent CTS-cto Ilia Luk-Zilberman dat er 'veel vragen en veel verwarring' is ontstaan door de aanpak van het bedrijf. In het document gaat hij in op de redenen voor de gekozen aanpak en uit hij kritiek aan het huidige model van responsible disclosure. Zo zou deze aanpak, die een bedrijf tijd gunt om met een oplossing te komen, de beslissing om getroffen gebruikers te informeren in de handen leggen van het getroffen bedrijf. Daarnaast claimt hij in de brief dat het onderzoek naar AMD-platformen een jaar geleden is begonnen.
Verder vraagt hij zich af of het verantwoord is om de technische details van een lek te publiceren als het bedrijf nog geen oplossing heeft ontwikkeld, maar de deadline inmiddels is verlopen. Daarom zou CTS ervoor gekozen hebben om AMD samen met het algemene publiek te informeren 'om maximale druk op de fabrikant uit te oefenen'. Zo bleek dat AMD slechts 24 uur van tevoren was ingelicht door CTS, wat het bedrijf veel kritiek opleverde. Luk-Zilberman claimt dat de technische details uit het rapport zijn weggelaten om gebruikers te beschermen. Hij zegt te erkennen dat dit afdoet aan de geloofwaardigheid en dat er daarom is gekozen voor verificatie met externe onderzoekers.
Daarmee doelt hij op verificatie door Dan Guido, de ceo van beveiligingsbedrijf Trail of Bits, die het betaalde voor verificatie. Guido zei na de CTS-publicatie tegen Ars Technica dat hij de technische details van het bedrijf heeft ontvangen en dat hij ervan overtuigd is dat de lekken echt zijn. "Als je eenmaal beheerdersrechten hebt, is het uitvoeren van de exploits niet zo moeilijk", voegde hij daaraan toe. Woensdagavond claimde ook een tweede bekende beveiligingsonderzoeker, Alex Ionescu, dat hij de technische details kent en dat het gaat om 'daadwerkelijke problemen met ontwerp en implementatie die het waard zijn om besproken te worden'. Hij zegt ook dat 'beheerderstoegang en persistence legitieme bedreigingen zijn in Infrastructure as a service'.
De technische details zijn echter nog steeds niet openbaar gemaakt en AMD heeft nog niet gereageerd op de bevindingen, los van een kort bericht op zijn website. De dinsdag door CTS gepubliceerde bevindingen beschrijven verschillende kwetsbaarheden die te maken hebben met de Secure Processor van AMD's Ryzen- en Epyc-platformen. Misbruik ervan vereist doorgaans dat een aanvaller over beheerdersrechten beschikt. De wijze van publicatie stuitte op veel kritiek en er ontstonden vermoedens dat het achterliggende motief was om de aandelenkoers van AMD te beïnvloeden. Zo publiceerde de zogenaamde short seller Viceroy Research kort na de publicatie door CTS een eigen bericht dat de publicatie het einde zou betekenen van AMD.