एक सुरक्षा शोधकर्ता ने माइक्रोसॉफ्ट उत्पादों में अनपैच किए गए बग प्रकाशित किए - एक्सप्लॉइट कोड के साथ - तो कंपनी ने उन्हें ठीक करने के बजाय पुलिस बुलाने की धमकी दी। माइक्रोसॉफ्ट की छिपी कानूनी धमकी ने लंबे समय से चल रही बहस को फिर से हवा दे दी है कि क्या सुरक्षा शोधकर्ताओं का ट्रिलियन डॉलर की तकनीकी दिग्गजों के प्रति कोई कर्तव्य है जो अपने सॉफ्टवेयर को पैच करने की जहमत नहीं उठा सकते।
बुधवार को, माइक्रोसॉफ्ट ने एक ब्लॉग पोस्ट प्रकाशित किया जिसमें "नाइटमेयर एक्लिप्स" नामक शोधकर्ता की आलोचना की गई, जिसने ब्लूहैमर, रेडसन अनडिफेंड और येलोकी जैसे नामों वाले बगों की एक श्रृंखला सार्वजनिक रूप से प्रकाशित की - ये सुरक्षा खामियों से कम और अस्वीकृत पावर रेंजर्स खलनायकों की तरह लगते हैं। ये खामियां विंडोज के बिल्ट-इन एंटीवायरस इंजन डिफेंडर और डिस्क-एन्क्रिप्शन टूल बिटलॉकर सहित उत्पादों को प्रभावित करती हैं।
माइक्रोसॉफ्ट की मुख्य शिकायत यह है कि शोधकर्ता ने बगों की निजी तौर पर रिपोर्ट नहीं की ताकि कंपनी पहले उन्हें ठीक कर सके। माइक्रोसॉफ्ट के अनुसार, यह "जिम्मेदार" काम होता। कंपनी यह भी तर्क देती है कि पैच उपलब्ध होने से पहले एक्सप्लॉइट विवरण प्रकाशित करने से दुर्भावनापूर्ण हैकर्स को मदद मिल सकती थी - और वास्तव में, माइक्रोसॉफ्ट और अमेरिकी साइबर सुरक्षा एजेंसी CISA दोनों के अनुसार, कुछ कमजोरियों का उपयोग वास्तविक दुनिया के हमलों में किया गया है।
"हमारी डिजिटल क्राइम यूनिट इन अभिनेताओं और उन लोगों के खिलाफ मामले लाती रहेगी जो उनकी आपराधिक गतिविधि को सक्षम करते हैं - जरूरत पड़ने पर दुनिया भर के कानून प्रवर्तन के साथ समन्वय करते हुए," माइक्रोसॉफ्ट ने लिखा। डिजिटल क्राइम यूनिट का मिशन, इसकी वेबसाइट के अनुसार, "सिविल कानूनी कार्रवाई, तकनीकी प्रतिउपाय, आपराधिक रेफरल और सार्वजनिक-निजी भागीदारी" शामिल है। तो, मूल रूप से, वे कॉरपोरेट संस्करण हैं जब कोई आपके साथ बुरा व्यवहार करता है तो अपने पिता को बुलाना।
पिछले कुछ हफ्तों में प्रकाशित ब्लॉगों की एक श्रृंखला में, नाइटमेयर एक्लिप्स ने दावा किया कि वे माइक्रोसॉफ्ट के संपर्क में थे लेकिन कथित तौर पर उनके साथ दुर्व्यवहार किया गया - जिसमें उनका माइक्रोसॉफ्ट सिक्योरिटी रिस्पांस सेंटर खाता रद्द करना शामिल है। उनका तात्पर्य था कि उनके पास कमजोरियों को सार्वजनिक रूप से जारी करने के अलावा कोई विकल्प नहीं था, प्रभावी रूप से उन्हें जीरो-डे में बदल दिया: सुरक्षा खामियां जो प्रकटीकरण के समय प्रभावित सॉफ्टवेयर निर्माता को अज्ञात थीं।
शोधकर्ता ने बगों को GitHub और GitLab पर प्रकाशित किया - दोनों प्लेटफॉर्म जहां से उनके खाते तब से प्रतिबंधित कर दिए गए हैं। नाइटमेयर एक्लिप्स या माइक्रोसॉफ्ट ने टिप्पणी के अनुरोधों का जवाब नहीं दिया।
यह सार्वजनिक विवाद एक अभी भी विवादास्पद बहस को पुनर्जीवित करता है: क्या स्वतंत्र सुरक्षा शोधकर्ताओं का यह कर्तव्य है कि वे सुनिश्चित करें कि उनके द्वारा पाई गई कमजोरियां ठीक हो जाएं? और उन्हें यह सुनिश्चित करने के लिए कितनी दूर जाना चाहिए कि जिन कंपनियों के उत्पाद कमजोर हैं, वे वास्तव में उन्हें ठीक करें?
इस बहस का एक हिस्सा तय हो चुका है: शोधकर्ता भुगतान के हकदार हैं। इसमें वर्षों का संघर्ष लगा - आंशिक रूप से 2009 के अभियान "नो मोर फ्री बग्स" द्वारा कैप्चर किया गया - लेकिन लगभग 20 साल बाद, अधिकांश कंपनियां निजी प्रकटीकरण के लिए छह आंकड़े या उससे अधिक तक के बग बाउंटी का भुगतान करती हैं।
इस नवीनतम विवाद के जवाब में, अनगिनत शोधकर्ताओं ने माइक्रोसॉफ्ट को बग रिपोर्ट करने के अपने बुरे अनुभव साझा किए हैं। साइबर सुरक्षा समुदाय खुले तौर पर नाखुश है। इसमें लुटा सिक्योरिटी की संस्थापक केटी मौसौरिस शामिल हैं, जिन्होंने 2000 के दशक के मध्य से अंत तक माइक्रोसॉफ्ट में काम करते हुए बग बाउंटी की शुरुआत की और कंपनी को "जिम्मेदार प्रकटीकरण" के बजाय "समन्वित प्रकटीकरण" अपनाने के लिए राजी किया।
"'जिम्मेदार' प्रकटीकरण शब्द का आह्वान करना मेरी किताब में पहला हमला था," मौसौरिस ने टेकक्रंच को बताया। "[डिजिटल क्राइम यूनिट] का उल्लेख करके अभियोजन की धमकी जोड़ना अतिशयोक्ति थी, और इसका परिणाम केवल सुरक्षा शोधकर्ताओं का माइक्रोसॉफ्ट पर अविश्वास होगा।" उन्होंने चेतावनी दी कि शोधकर्ताओं का विश्वास खोने से एक ठंडा प्रभाव पैदा हो सकता है, जिससे "यह हम सभी के लिए कम सुरक्षित हो जाएगा।"
सुरक्षा शोधकर्ता और पूर्व माइक्रोसॉफ्ट कर्मचारी केविन ब्यूमोंट ने भी कंपनी की आलोचना की, इसकी स्थिति को "अपने ही बनाए कूड़े के ढेर" के रूप में वर्णित किया। "जीरो-डे के लिए प्रूफ ऑफ कॉन्सेप्ट एक्सप्लॉइट निर्माण और वितरण अब 'आपराधिक गतिविधि' है?" ब्यूमोंट ने लिखा। "जिम्मेदार प्रकटीकरण काफी हद तक