Po tym, jak badacz bezpieczeństwa opublikował niezałatane błędy w produktach Microsoftu - wraz z kodem exploitacyjnym - firma odpowiedziała nie naprawianiem ich, ale groźbą wezwania policji. Zawoalowana groźba prawna Microsoftu wznowiła długotrwałą debatę na temat tego, czy badacze bezpieczeństwa są coś winni gigantom technologicznym wartym biliony dolarów, którzy nie mogą się zmusić do łatania własnego oprogramowania.

W środę Microsoft opublikował wpis na blogu krytykujący badacza znanego jako "Nightmare Eclipse" za publiczne ujawnienie serii błędów o nazwach takich jak BlueHammer, RedSun UnDefend i YellowKey - brzmi to mniej jak luki bezpieczeństwa, a bardziej jak odrzuceni złoczyńcy z Power Rangers. Luki dotyczyły produktów, w tym wbudowanego silnika antywirusowego Windows Defender oraz narzędzia do szyfrowania dysków BitLocker.

Głównym zarzutem Microsoftu jest to, że badacz nie zgłosił błędów prywatnie, aby firma mogła je najpierw naprawić. Według Microsoftu byłoby to "odpowiedzialne" postępowanie. Firma argumentuje również, że publikacja szczegółów exploita przed udostępnieniem łatki mogła pomóc złośliwym hakerom - i rzeczywiście, niektóre z luk zostały od tego czasu wykorzystane w rzeczywistych atakach, według zarówno Microsoftu, jak i amerykańskiej agencji cyberbezpieczeństwa CISA.

"Nasza Jednostka ds. Cyberprzestępczości będzie nadal wnosić sprawy przeciwko tym aktorom i tym, którzy umożliwiają ich przestępczą działalność - koordynując w razie potrzeby z organami ścigania na całym świecie" - napisał Microsoft. Misja Jednostki ds. Cyberprzestępczości, według jej strony internetowej, obejmuje "cywilne działania prawne, środki techniczne, skierowania karne i partnerstwa publiczno-prywatne". Czyli w zasadzie jest to korporacyjna wersja dzwonienia do taty, ponieważ ktoś był dla ciebie niemiły.

W serii wpisów opublikowanych w ciągu ostatnich kilku tygodni Nightmare Eclipse twierdził, że kontaktował się z Microsoftem, ale był rzekomo źle traktowany - w tym odebrano mu konto w Microsoft Security Response Center. Sugerowali, że nie mieli innego wyjścia, jak tylko ujawnić luki publicznie, skutecznie zamieniając je w zero-day: luki bezpieczeństwa nieznane producentowi oprogramowania w momencie ujawnienia.

Badacz opublikował błędy na GitHub i GitLab - na obu platformach jego konta zostały zbanowane. Ani Nightmare Eclipse, ani Microsoft nie odpowiedzieli na prośby o komentarz.

Ten publiczny spór ożywia wciąż kontrowersyjną debatę: Czy niezależni badacze bezpieczeństwa mają obowiązek dopilnować, aby znalezione luki zostały naprawione? I jak daleko muszą się posunąć, aby firmy, których produkty są podatne na ataki, rzeczywiście je naprawiły?

Jedna część tej debaty została rozstrzygnięta: badacze zasługują na zapłatę. Zajęło to lata walki - uchwycone częściowo przez kampanię "No More Free Bugs" z 2009 roku - ale prawie 20 lat później większość firm płaci nagrody za błędy, które mogą sięgać sześciu cyfr lub więcej za prywatne ujawnienia.

W odpowiedzi na tę najnowszą kontrowersję niezliczeni badacze podzielili się swoimi złymi doświadczeniami z zgłaszaniem błędów Microsoftowi. Społeczność cyberbezpieczeństwa jest wyraźnie niezadowolona. Dotyczy to Katie Moussouris, założycielki Luta Security, która pracując w Microsoft w połowie i pod koniec lat 2000. zapoczątkowała nagrody za błędy i przekonała firmę do przyjęcia "skoordynowanego ujawniania" zamiast "odpowiedzialnego ujawniania".

"Przywołanie terminu 'odpowiedzialne' ujawnianie było pierwszym ciosem w mojej książce" - powiedziała Moussouris TechCrunch. "Dodanie groźby ścigania przez wspomnienie [Jednostki ds. Cyberprzestępczości] było przesadą i doprowadzi tylko do tego, że badacze bezpieczeństwa będą nie ufać Microsoftowi". Ostrzegła, że utrata zaufania badaczy może wywołać efekt mrożący, czyniąc "to mniej bezpiecznym dla nas wszystkich".

Badacz bezpieczeństwa i były pracownik Microsoftu Kevin Beaumont również skrytykował firmę, opisując jej stanowisko jako "śmietnik własnej roboty". "Tworzenie i dystrybucja proof-of-concept exploitów dla zero-day to teraz 'przestępcza działalność'?" - napisał Beaumont. "Odpowiedzialne ujawnianie dość