Nadat een beveiligingsonderzoeker ongepatchte bugs in Microsoft-producten publiceerde - compleet met exploitcode - reageerde het bedrijf niet door ze te repareren, maar door te dreigen de politie erbij te halen. Microsofts bedekte juridische dreiging heeft het al lang lopende debat opnieuw aangewakkerd of beveiligingsonderzoekers iets verschuldigd zijn aan biljoenenbedrijven die de moeite niet nemen hun eigen software te patchen.

Op woensdag publiceerde Microsoft een blogpost waarin het de onderzoeker, bekend als 'Nightmare Eclipse', bekritiseerde omdat hij een reeks bugs openbaar had gemaakt met namen als BlueHammer, RedSun UnDefend en YellowKey - klinkt minder als beveiligingslekken en meer als afgewezen Power Rangers-schurken. De fouten troffen producten zoals de ingebouwde antivirus-engine Defender en de schijfversleutelingstool BitLocker.

Microsofts belangrijkste klacht is dat de onderzoeker de bugs niet privé meldde zodat het bedrijf ze eerst kon repareren. Dat zou het 'verantwoorde' zijn geweest, volgens Microsoft. Het bedrijf stelt ook dat het publiceren van exploitdetails voordat een patch beschikbaar was, kwaadwillende hackers kan hebben geholpen - en inderdaad, sommige kwetsbaarheden zijn sindsdien gebruikt in echte aanvallen, volgens zowel Microsoft als het Amerikaanse cybersecurityagentschap CISA.

'Onze Digital Crimes Unit zal doorgaan met het aanspannen van zaken tegen deze actoren en degenen die hun criminele activiteiten mogelijk maken - indien nodig in samenwerking met wetshandhavingsinstanties over de hele wereld,' schreef Microsoft. De missie van de Digital Crimes Unit omvat volgens haar website 'civiele rechtszaken, technische tegenmaatregelen, strafrechtelijke verwijzingen en publiek-private samenwerkingen.' Dus eigenlijk zijn ze de bedrijfsversie van je vader bellen omdat iemand gemeen tegen je was.

In een reeks blogs die de afgelopen weken zijn gepubliceerd, beweerde Nightmare Eclipse dat ze contact hadden gehad met Microsoft maar naar verluidt slecht werden behandeld - waaronder het intrekken van hun Microsoft Security Response Center-account. Hun implicatie was dat ze geen andere keuze hadden dan de kwetsbaarheden openbaar te maken, waardoor ze effectief zero-days werden: beveiligingslekken die op het moment van openbaarmaking onbekend waren bij de getroffen softwaremaker.

De onderzoeker publiceerde de bugs op GitHub en GitLab - beide platforms waar hun accounts sindsdien zijn verbannen. Noch Nightmare Eclipse, noch Microsoft reageerden op verzoeken om commentaar.

Deze openbare ruzie doet het nog steeds controversiële debat herleven: Hebben onafhankelijke beveiligingsonderzoekers de plicht om ervoor te zorgen dat de kwetsbaarheden die ze vinden worden gerepareerd? En hoe ver moeten ze gaan om ervoor te zorgen dat de bedrijven wiens producten kwetsbaar zijn, ze daadwerkelijk repareren?

Een deel van dit debat is beslecht: onderzoekers verdienen betaald te worden. Het kostte jaren van strijd - deels vastgelegd door de campagne 'No More Free Bugs' uit 2009 - maar bijna 20 jaar later betalen de meeste bedrijven bug bounties die kunnen oplopen tot zes cijfers of meer voor privé-meldingen.

Naar aanleiding van deze laatste controverse hebben talloze onderzoekers hun slechte ervaringen met het melden van bugs aan Microsoft gedeeld. De cybersecuritygemeenschap is hoorbaar ontevreden. Dit omvat Katie Moussouris, oprichter van Luta Security, die halverwege de jaren 2000 bij Microsoft werkte en pionierde met bug bounties en het bedrijf overhaalde om 'gecoördineerde openbaarmaking' te omarmen in plaats van 'verantwoorde openbaarmaking.'

'Het gebruik van de term 'verantwoorde' openbaarmaking was de eerste klap in mijn boek,' vertelde Moussouris aan TechCrunch. 'Het toevoegen van een dreiging van vervolging door [Digital Crimes Unit] te noemen was overdreven en zal er alleen maar toe leiden dat beveiligingsonderzoekers Microsoft niet vertrouwen.' Ze waarschuwde dat het verliezen van het vertrouwen van onderzoekers een chilling effect kan creëren, waardoor 'het voor ons allemaal minder veilig wordt.'

Beveiligingsonderzoeker en voormalig Microsoft-medewerker Kevin Beaumont riep het bedrijf ook ter verantwoording en beschreef zijn positie als een 'dumpster fire of its own making.' 'Proof of concept exploit creatie en distributie voor zero days is nu 'criminele activiteit'?' schreef Beaumont. 'Verantwoorde openbaarmaking is nogal