بعد أن نشر باحث أمني ثغرات غير مصححة في منتجات مايكروسوفت - مكتملة بكود استغلال - لم ترد الشركة بإصلاحها، بل بتهديده باستدعاء الشرطة. التهديد القانوني الخفي من مايكروسوفت أعاد إشعال النقاش الطويل حول ما إذا كان الباحثون الأمنيون مدينون بشيء لعمالقة التكنولوجيا الذين تبلغ قيمتهم تريليونات الدولارات ولا يكلفون أنفسهم عناء تصحيح برامجهم.
يوم الأربعاء، نشرت مايكروسوفت تدوينة تنتقد فيها الباحث المعروف باسم "Nightmare Eclipse" لكشفه علنًا عن سلسلة من الثغرات بأسماء مثل BlueHammer وRedSun UnDefend وYellowKey - تبدو أقل كأنها ثغرات أمنية وأكثر كأنها أشرار مرفوضون من مسلسل باور رينجرز. أثرت الثغرات على منتجات تشمل محرك مكافحة الفيروسات المدمج في ويندوز Defender وأداة تشفير الأقراص BitLocker.
شكوى مايكروسوفت الأساسية هي أن الباحث لم يبلغ عن الثغرات بشكل خاص لتتمكن الشركة من إصلاحها أولاً. كان ذلك سيكون التصرف "المسؤول" وفقًا لمايكروسوفت. وتجادل الشركة أيضًا أن نشر تفاصيل الاستغلال قبل توفر التصحيح ربما ساعد المخترقين الخبيثين - وبالفعل، تم استخدام بعض الثغرات في هجمات حقيقية، وفقًا لمايكروسوفت ووكالة الأمن السيبراني الأمريكية CISA.
كتبت مايكروسوفت: "ستواصل وحدة الجرائم الرقمية لدينا رفع قضايا ضد هؤلاء الفاعلين ومن يمكّن نشاطهم الإجرامي - بالتنسيق حسب الحاجة مع سلطات إنفاذ القانون حول العالم." مهمة وحدة الجرائم الرقمية، وفقًا لموقعها، تشمل "إجراءات قانونية مدنية، وتدابير تقنية مضادة، وإحالات جنائية، وشراكات عامة-خاصة." إذن، هم ببساطة النسخة المؤسسية من استدعاء والدك لأن أحدًا كان وقحًا معك.
في سلسلة من التدوينات المنشورة خلال الأسبوعين الماضيين، ادعى Nightmare Eclipse أنه كان على اتصال بمايكروسوفت لكنه تعرض لسوء المعاملة - بما في ذلك إلغاء حسابه في مركز استجابة مايكروسوفت الأمني. وكانت إيحاءاتهم أنهم لم يجدوا خيارًا سوى نشر الثغرات علنًا، محولينها فعليًا إلى ثغرات يوم-صفر: ثغرات أمنية غير معروفة لصانع البرامج المتأثر وقت الكشف.
نشر الباحث الثغرات على GitHub وGitLab - وهما منصتان تم حظر حساباتهما عليهما منذ ذلك الحين. لم يرد كل من Nightmare Eclipse ومايكروسوفت على طلبات التعليق.
هذا الخلاف العلني يحيي نقاشًا لا يزال مثيرًا للجدل: هل على الباحثين الأمنيين المستقلين واجب ضمان إصلاح الثغرات التي يجدونها؟ وإلى أي مدى يجب أن يذهبوا لضمان أن الشركات التي تكون منتجاتها عرضة للثغرات تقوم فعليًا بإصلاحها؟
جزء من هذا النقاش قد حُسم: يستحق الباحثون أن يتقاضوا أجرًا. استغرق الأمر سنوات من النضال - الذي جسّدته جزئيًا حملة "لا مزيد من الثغرات المجانية" عام 2009 - لكن بعد ما يقرب من 20 عامًا، تدفع معظم الشركات مكافآت للثغرات يمكن أن تصل إلى ستة أرقام أو أكثر مقابل الكشف الخاص.
ردًا على هذا الجدل الأخير، شارك عدد لا يحصى من الباحثين تجاربهم السيئة في الإبلاغ عن ثغرات لمايكروسوفت. مجتمع الأمن السيبراني غير سعيد بصوت عالٍ. من بينهم كاتي موسوري، مؤسسة Luta Security، التي عملت في مايكروسوفت في منتصف إلى أواخر العقد الأول من القرن الحادي والعشرين وكانت رائدة في مكافآت الثغرات وأقنعت الشركة باعتماد "الكشف المنسق" بدلاً من "الكشف المسؤول".
قالت موسوري لـ TechCrunch: "استدعاء مصطلح الكشف 'المسؤول' كان الضربة الأولى في كتابي. إضافة تهديد بالملاحقة القضائية بذكر [وحدة الجرائم الرقمية] كان مبالغًا فيه، ولن يؤدي إلا إلى عدم ثقة الباحثين الأمنيين بمايكروسوفت." وحذرت من أن فقدان ثقة الباحثين قد يخلق تأثيرًا مثبطًا، مما يجعل "الأمر أقل أمانًا لنا جميعًا."
كما انتقد الباحث الأمني والموظف السابق في مايكروسوفت كيفن بومونت الشركة، واصفًا موقفها بأنه "حاوية قمامة من صنعها الخاص." كتب بومونت: "إنشاء وتوزيع كود استغلال لإثبات المفهوم للثغرات من نوع يوم-صفر أصبح 'نشاطًا إجراميًا' الآن؟ الكشف المسؤول أصبح..."