После того как исследователь безопасности опубликовал незакрытые баги в продуктах Microsoft — с эксплойт-кодом в придачу — компания ответила не исправлением, а угрозой вызвать полицию. Завуалированная юридическая угроза Microsoft возобновила давние дебаты о том, должны ли исследователи безопасности что-то технологическим гигантам с триллионной капитализацией, которые не могут озаботиться патчами для собственного ПО.

В среду Microsoft опубликовала пост в блоге, критикующий исследователя под ником "Nightmare Eclipse" за публичное раскрытие серии багов с названиями вроде BlueHammer, RedSun UnDefend и YellowKey — звучит не как уязвимости, а как отвергнутые злодеи из "Могучих Рейнджеров". Баги затрагивали продукты, включая встроенный антивирусный движок Windows Defender и инструмент шифрования дисков BitLocker.

Основная претензия Microsoft: исследователь не сообщил о багах приватно, чтобы компания могла сначала их исправить. Это было бы "ответственно", по мнению Microsoft. Компания также утверждает, что публикация деталей эксплойта до выхода патча могла помочь злоумышленникам — и действительно, некоторые уязвимости с тех пор использовались в реальных атаках, по данным Microsoft и американского агентства кибербезопасности CISA.

"Наше подразделение по борьбе с цифровыми преступлениями продолжит возбуждать дела против этих лиц и тех, кто способствует их преступной деятельности — координируясь по мере необходимости с правоохранительными органами по всему миру", — написала Microsoft. Миссия подразделения, согласно его сайту, включает "гражданские иски, технические контрмеры, уголовные дела и государственно-частное партнерство". То есть, по сути, это корпоративная версия "позвоню папе, потому что меня обидели".

В серии блогов за последние пару недель Nightmare Eclipse утверждал, что был на связи с Microsoft, но с ним якобы плохо обращались — вплоть до отзыва его аккаунта в центре реагирования на угрозы Microsoft. Они намекали, что у них не было выбора, кроме как опубликовать уязвимости публично, фактически превратив их в zero-day: неизвестные производителю софта на момент раскрытия.

Исследователь опубликовал баги на GitHub и GitLab — на обеих платформах его аккаунты были забанены. Ни Nightmare Eclipse, ни Microsoft не ответили на запросы о комментариях.

Эта публичная перепалка возобновляет все еще спорные дебаты: обязаны ли независимые исследователи безопасности обеспечивать исправление найденных уязвимостей? И как далеко они должны зайти, чтобы компании, чьи продукты уязвимы, действительно их исправили?

Одна часть дебатов уже решена: исследователи заслуживают оплаты. Потребовались годы борьбы — отчасти отраженной в кампании 2009 года "No More Free Bugs" — но почти 20 лет спустя большинство компаний платят баг-баунти, которые могут достигать шестизначных сумм за приватное раскрытие.

В ответ на последний скандал бесчисленные исследователи поделились своим негативным опытом сообщения багов в Microsoft. Кибербезопасное сообщество откровенно недовольно. Среди них Кэти Муссурис, основатель Luta Security, которая, работая в Microsoft в середине-конце 2000-х, первой внедрила баг-баунти и убедила компанию принять "координированное раскрытие" вместо "ответственного раскрытия".

"Упоминание термина 'ответственное' раскрытие было первым ударом в моей книге", — сказала Муссурис TechCrunch. "Добавление угрозы преследования упоминанием [подразделения по борьбе с цифровыми преступлениями] было чрезмерным и приведет только к недоверию исследователей безопасности к Microsoft". Она предупредила, что потеря доверия исследователей может создать отпугивающий эффект, сделав "менее безопасным для всех нас".

Исследователь безопасности и бывший сотрудник Microsoft Кевин Бомонт также раскритиковал компанию, назвав ее позицию "мусорным костром собственного разведения". "Создание и распространение эксплойтов для zero-day теперь 'преступная деятельность'?" — написал Бомонт. "Ответственное раскрытие — это..."