Dopo che un ricercatore di sicurezza ha pubblicato bug non corretti nei prodotti Microsoft - completi di codice exploit - l'azienda ha risposto non correggendoli, ma minacciando di chiamare la polizia. La velata minaccia legale di Microsoft ha riacceso il dibattito di lunga data su se i ricercatori di sicurezza debbano qualcosa a giganti tecnologici da un trilione di dollari che non si preoccupano di correggere il proprio software.

Mercoledì, Microsoft ha pubblicato un post sul blog criticando il ricercatore noto come "Nightmare Eclipse" per aver divulgato pubblicamente una serie di bug con nomi come BlueHammer, RedSun UnDefend e YellowKey - suona meno come falle di sicurezza e più come cattivi scartati dei Power Rangers. Le falle riguardavano prodotti tra cui il motore antivirus integrato di Windows Defender e lo strumento di crittografia del disco BitLocker.

La lamentela principale di Microsoft è che il ricercatore non ha segnalato i bug privatamente in modo che l'azienda potesse correggerli prima. Sarebbe stata la cosa "responsabile" da fare, secondo Microsoft. L'azienda sostiene anche che pubblicare i dettagli dell'exploit prima che una patch fosse disponibile potrebbe aver aiutato gli hacker malintenzionati - e in effetti, alcune delle vulnerabilità sono state successivamente utilizzate in attacchi reali, secondo Microsoft e l'agenzia di cybersicurezza statunitense CISA.

"La nostra Digital Crimes Unit continuerà a perseguire questi attori e coloro che agevolano la loro attività criminale - coordinando se necessario con le forze dell'ordine in tutto il mondo," ha scritto Microsoft. La missione della Digital Crimes Unit, secondo il suo sito web, include "azioni legali civili, contromisure tecniche, segnalazioni penali e partenariati pubblico-privati." Quindi, essenzialmente, sono la versione aziendale di chiamare tuo padre perché qualcuno è stato cattivo con te.

In una serie di blog pubblicati nelle ultime due settimane, Nightmare Eclipse ha affermato di essere stato in contatto con Microsoft ma di essere stato presumibilmente maltrattato - incluso il fatto che il loro account del Microsoft Security Response Center è stato revocato. La loro implicazione era che non avevano altra scelta se non rilasciare pubblicamente le vulnerabilità, trasformandole di fatto in zero-day: falle di sicurezza sconosciute al produttore del software interessato al momento della divulgazione.

Il ricercatore ha pubblicato i bug su GitHub e GitLab - entrambe piattaforme dove i loro account sono stati successivamente bannati. Né Nightmare Eclipse né Microsoft hanno risposto alle richieste di commento.

Questa lite pubblica riaccende un dibattito ancora controverso: I ricercatori di sicurezza indipendenti hanno il dovere di garantire che le vulnerabilità che trovano vengano corrette? E quanto devono spingersi per assicurarsi che le aziende i cui prodotti sono vulnerabili le correggano effettivamente?

Una parte di questo dibattito è stata risolta: i ricercatori meritano di essere pagati. Ci sono voluti anni di lotta - catturati in parte dalla campagna del 2009 "No More Free Bugs" - ma quasi 20 anni dopo, la maggior parte delle aziende paga bug bounty che possono arrivare a sei cifre o più per divulgazioni private.

In risposta a questa ultima controversia, innumerevoli ricercatori hanno condiviso le loro brutte esperienze nel segnalare bug a Microsoft. La comunità della cybersicurezza è apertamente insoddisfatta. Questo include Katie Moussouris, fondatrice di Luta Security, che mentre lavorava a Microsoft a metà degli anni 2000 ha aperto la strada ai bug bounty e ha convinto l'azienda ad adottare la "divulgazione coordinata" invece della "divulgazione responsabile."

"Invocare il termine 'divulgazione responsabile' è stato il primo colpo nel mio libro," ha detto Moussouris a TechCrunch. "Aggiungere una minaccia di azione legale menzionando [Digital Crimes Unit] è stato eccessivo e porterà solo i ricercatori di sicurezza a diffidare di Microsoft." Ha avvertito che perdere la fiducia dei ricercatori potrebbe creare un effetto dissuasivo, rendendo "meno sicuro per tutti noi."

Il ricercatore di sicurezza ed ex dipendente Microsoft Kevin Beaumont ha anche criticato l'azienda, descrivendo la sua posizione come un "cestino di fuoco auto-creato." "La creazione e distribuzione di proof of concept exploit per zero-day è ora 'attività criminale'?" ha scritto Beaumont. "Divulgazione responsabile di