Microsoft опинилася під ударом критики з боку кібербезпекової спільноти після того, як компанія пригрозила юридичними наслідками досліднику, який опублікував невиправлені вразливості в продуктах фірми. Експерти вважають, що така реакція може підірвати довіру до програм розкриття помилок і зменшити кількість повідомлень про серйозні загрози, повідомляє TechCrunch.
Конфлікт виник після того, як дослідник під псевдонімом Nightmare Eclipse оприлюднив дані про кілька вразливостей, серед яких BlueHammer, RedSun, UnDefend і YellowKey, а також код для експлуатації деяких з них у продуктах Microsoft. За словами дослідника, ці недоліки стосувалися таких продуктів, як Windows Defender і система шифрування дисків BitLocker.
У своєму блозі Microsoft розкритикувала фахівця за те, що він не дотримався стандартної процедури повідомлення про вразливості. У компанії підкреслили, що дослідник не надав часу для виправлення помилок перед їхнім публічним розголошенням.
Microsoft також повідомила, що частина опублікованих вразливостей вже була використана зловмисниками в реальних атаках. На це, за словами компанії, вказують її власні дані та інформація від американського агентства з кібербезпеки CISA (Cybersecurity and Infrastructure Security Agency).
“Наш підрозділ цифрових злочинів продовжуватиме порушувати справи проти цих осіб та тих, хто підтримує їхню злочинну діяльність, координуючи свої дії за потреби з правоохоронними органами по всьому світу”, — зазначили в Microsoft.
Сам Nightmare Eclipse стверджує, що раніше намагався взаємодіяти з Microsoft через платформу Microsoft Security Response Center. За його словами, компанія відкликала в нього доступ до системи повідомлення про вразливості, після чого він вирішив оприлюднити виявлені проблеми. Після публікації інформації облікові записи дослідника на платформах GitHub і GitLab були заблоковані.
Ситуація викликала різку реакцію серед експертів з кібербезпеки. Засновниця компанії Luta Security та одна з піонерок програм винагород за виявлення помилок Кеті Муссуріс зазначила, що риторика Microsoft може зашкодити відносинам з дослідницькою спільнотою.
“Використання терміна “відповідальне” розкриття інформації стало першим недоліком у моїй книзі. Додавання загрози судового переслідування шляхом згадки (Підрозділу цифрових злочинів) було надмірним”, — підкреслила Муссуріс.
На думку Муссуріс, втрата довіри може мати тривалі наслідки для всієї галузі. Якщо дослідники перестануть повідомляти про виявлені вразливості, це може негативно вплинути на безпеку програмного забезпечення та користувачів.
Критичні зауваження на адресу Microsoft висловив і дослідник безпеки та колишній співробітник компанії Кевін Бомонт. У своєму блозі він охарактеризував ситуацію як “пожежу на сміттєзвалищі власного виробництва” та поставив під сумнів спроби трактувати публікацію доказів концепції експлойтів як кримінальну діяльність.
Нещодавно платформа GitHub зафіксувала несанкціонований доступ зловмисників до приблизно 3 800 своїх внутрішніх репозиторіїв. Інцидент стався через злам пристрою співробітника компанії за допомогою шкідливого розширення для редактора Visual Studio Code.