Microsoft розкритикували за погрози досліднику безпеки після публікації вразливостей

Microsoft опинилася в центрі критики з боку спільноти кібербезпеки після того, як пригрозила юридичними наслідками досліднику, який оприлюднив невиправлені вразливості в продуктах компанії. Експерти вважають, що така позиція може підірвати довіру до програм розкриття помилок та зменшити кількість повідомлень про критичні загрози, передає TechCrunch.

Конфлікт розгорівся після того, як дослідник під псевдонімом Nightmare Eclipse оприлюднив інформацію про низку вразливостей, серед яких BlueHammer, RedSun, UnDefend і YellowKey, та код для експлуатації кількох з них у продуктах Microsoft. За словами дослідника, недоліки впливали на такі продукти, як Windows Defender та система шифрування дисків BitLocker.

У своєму блозі Microsoft розкритикувала фахівця за те, що він не дотримався стандартної процедури повідомлення про вразливості. У компанії наголосили, що дослідник не надав часу на виправлення помилок перед їхнім публічним розголошенням.

Microsoft також заявила, що частину опублікованих вразливостей уже використали хакери в реальних атаках. На це, за словами компанії, вказують її власні дані та інформація від американського агентства з кібербезпеки CISA (Cybersecurity and Infrastructure Security Agency).

“Наш відділ цифрових злочинів продовжуватиме порушувати справи проти цих осіб та тих, хто сприяє їхній злочинній діяльності, координуючи свої дії за потреби з правоохоронними органами по всьому світу”, — написали в Microsoft.

Сам Nightmare Eclipse стверджує, що раніше намагався взаємодіяти з Microsoft через платформу Microsoft Security Response Center. За його словами, компанія відкликала йому доступ до системи повідомлення про вразливості, після чого він вирішив оприлюднити знайдені проблеми. Після публікації інформації облікові записи дослідника на платформах GitHub і GitLab заблокували. 

Ситуація викликала гостру реакцію серед експертів з кібербезпеки. Засновниця компанії Luta Security та одна з піонерок програм винагород за виявлення помилок Кеті Муссуріс заявила, що риторика Microsoft може завдати шкоди відносинам з дослідницькою спільнотою.

“Застосування терміну “відповідальне” розкриття інформації було першим недоліком у моїй книзі. Додавання загрози судового переслідування шляхом згадки (Підрозділу цифрових злочинів) було надмірним”, — заявила Муссуріс.

На думку Муссуріс, втрата довіри може мати довгострокові наслідки для всієї галузі. Якщо дослідники перестануть повідомляти про знайдені вразливості, це може негативно вплинути на безпеку програмного забезпечення та користувачів.

Критику на адресу Microsoft висловив і дослідник безпеки та колишній співробітник компанії Кевін Бомонт. У своєму блозі він назвав ситуацію “пожежею на сміттєзвалищі власного виробництва” та поставив під сумнів спроби трактувати публікацію доказів концепції експлойтів як кримінальну діяльність.