Depois que um pesquisador de segurança publicou bugs não corrigidos em produtos da Microsoft - completos com código de exploração - a empresa respondeu não corrigindo-os, mas ameaçando chamar a polícia. A ameaça legal velada da Microsoft reacendeu o longo debate sobre se pesquisadores de segurança devem algo a gigantes de tecnologia de trilhões de dólares que não se preocupam em corrigir seu próprio software.

Na quarta-feira, a Microsoft publicou uma postagem no blog criticando o pesquisador conhecido como "Nightmare Eclipse" por divulgar publicamente uma série de bugs com nomes como BlueHammer, RedSun UnDefend e YellowKey - soa menos como falhas de segurança e mais como vilões rejeitados dos Power Rangers. As falhas afetaram produtos como o mecanismo antivírus integrado do Windows, Defender, e a ferramenta de criptografia de disco BitLocker.

A principal queixa da Microsoft é que o pesquisador não relatou os bugs em particular para que a empresa pudesse corrigi-los primeiro. Isso teria sido a coisa "responsável" a se fazer, de acordo com a Microsoft. A empresa também argumenta que publicar detalhes de exploração antes de um patch disponível pode ter ajudado hackers maliciosos - e, de fato, algumas das vulnerabilidades foram usadas em ataques reais desde então, de acordo com a Microsoft e a agência de segurança cibernética dos EUA, CISA.

"Nossa Unidade de Crimes Digitais continuará trazendo casos contra esses atores e aqueles que permitem sua atividade criminosa - coordenando conforme necessário com as autoridades policiais em todo o mundo," escreveu a Microsoft. A missão da Unidade de Crimes Digitais, de acordo com seu site, inclui "ações legais civis, contramedidas técnicas, referências criminais e parcerias público-privadas." Então, essencialmente, eles são a versão corporativa de chamar seu pai porque alguém foi malvado com você.

Em uma série de blogs publicados nas últimas duas semanas, Nightmare Eclipse afirmou que esteve em contato com a Microsoft, mas foi supostamente maltratado - incluindo ter sua conta no Centro de Resposta de Segurança da Microsoft revogada. A implicação era que eles não tiveram escolha a não ser liberar as vulnerabilidades publicamente, efetivamente transformando-as em zero-days: falhas de segurança desconhecidas pelo fabricante do software afetado no momento da divulgação.

O pesquisador publicou os bugs no GitHub e GitLab - ambas plataformas onde suas contas foram banidas desde então. Nem Nightmare Eclipse nem a Microsoft responderam aos pedidos de comentário.

Esta briga pública revive um debate ainda controverso: Pesquisadores de segurança independentes têm o dever de garantir que as vulnerabilidades que encontram sejam corrigidas? E até onde eles devem ir para garantir que as empresas cujos produtos são vulneráveis realmente as corrijam?

Uma parte deste debate foi resolvida: pesquisadores merecem ser pagos. Levou anos de luta - capturada em parte pela campanha de 2009 "No More Free Bugs" - mas quase 20 anos depois, a maioria das empresas paga recompensas por bugs que podem chegar a seis dígitos ou mais para divulgações privadas.

Em resposta a esta controvérsia mais recente, inúmeros pesquisadores compartilharam suas más experiências ao relatar bugs à Microsoft. A comunidade de segurança cibernética está vocalmente insatisfeita. Isso inclui Katie Moussouris, fundadora da Luta Security, que enquanto trabalhava na Microsoft em meados dos anos 2000 foi pioneira em recompensas por bugs e convenceu a empresa a adotar "divulgação coordenada" em vez de "divulgação responsável."

"Invocar o termo 'divulgação responsável' foi o primeiro golpe no meu livro," disse Moussouris ao TechCrunch. "Adicionar uma ameaça de processo ao mencionar [Unidade de Crimes Digitais] foi exagerado, e só resultará em pesquisadores de segurança desconfiando da Microsoft." Ela alertou que perder a confiança dos pesquisadores pode criar um efeito inibidor, tornando "menos seguro para todos nós."

O pesquisador de segurança e ex-funcionário da Microsoft Kevin Beaumont também criticou a empresa, descrevendo sua posição como uma "lixeira em chamas de sua própria criação." "Criação e distribuição de prova de conceito de exploração para zero-days é 'atividade criminosa' agora?" escreveu Beaumont. "Divulgação responsável bastante de"