Efter att en säkerhetsforskare publicerat opatchade buggar i Microsofts produkter – komplett med exploateringskod – svarade företaget inte med att fixa dem, utan med att hota att kalla på polisen. Microsofts förtäckta juridiska hot har återuppväckt den långvariga debatten om huruvida säkerhetsforskare är skyldiga biljonföretag som inte orkar patch sin egen programvara något.
På onsdagen publicerade Microsoft ett blogginlägg som kritiserade forskaren känd som "Nightmare Eclipse" för att offentligt ha avslöjat en serie buggar med namn som BlueHammer, RedSun UnDefend och YellowKey – låter mindre som säkerhetsbrister och mer som förkastade Power Rangers-skurkar. Bristerna påverkade produkter som Windows inbyggda antivirusmotor Defender och diskkrypteringsverktyget BitLocker.
Microsofts huvudsakliga klagomål är att forskaren inte rapporterade buggarna privat så att företaget kunde fixa dem först. Det hade varit det "ansvarsfulla" att göra, enligt Microsoft. Företaget hävdar också att publicering av exploateringsdetaljer innan en patch fanns tillgänglig kan ha hjälpt skadliga hackare – och faktiskt, några av sårbarheterna har sedan dess använts i verkliga attacker, enligt både Microsoft och den amerikanska cybersäkerhetsmyndigheten CISA.
"Vår Digital Crimes Unit kommer att fortsätta driva fall mot dessa aktörer och de som möjliggör deras kriminella verksamhet – och samordna vid behov med brottsbekämpande myndigheter över hela världen," skrev Microsoft. Digital Crimes Units uppdrag, enligt dess webbplats, inkluderar "civilrättsliga åtgärder, tekniska motåtgärder, brottsanmälningar och offentlig-privata partnerskap." Så i princip är de företagsversionen av att ringa din pappa för att någon var elak mot dig.
I en serie bloggar publicerade under de senaste veckorna hävdade Nightmare Eclipse att de hade varit i kontakt med Microsoft men påstås ha blivit illa behandlade – inklusive att deras Microsoft Security Response Center-konto återkallades. Deras antydan var att de inte hade något annat val än att offentliggöra sårbarheterna, vilket i praktiken gjorde dem till zero-days: säkerhetsbrister okända för den drabbade programvarutillverkaren vid tidpunkten för avslöjandet.
Forskaren publicerade buggarna på GitHub och GitLab – båda plattformar där deras konton sedan dess har stängts av. Varken Nightmare Eclipse eller Microsoft svarade på förfrågningar om kommentarer.
Denna offentliga dispyt återupplivar en fortfarande kontroversiell debatt: Har oberoende säkerhetsforskare en skyldighet att se till att de sårbarheter de hittar åtgärdas? Och hur långt måste de gå för att säkerställa att företagen vars produkter är sårbara faktiskt fixar dem?
En del av debatten har avgjorts: forskare förtjänar att få betalt. Det tog år av kamp – delvis fångad av kampanjen "No More Free Bugs" från 2009 – men nästan 20 år senare betalar de flesta företag buggpremier som kan uppgå till sexsiffriga belopp eller mer för privata avslöjanden.
Som svar på den senaste kontroversen har otaliga forskare delat sina dåliga erfarenheter av att rapportera buggar till Microsoft. Cybersäkerhetsgemenskapen är högljutt missnöjd. Detta inkluderar Katie Moussouris, grundare av Luta Security, som medan hon arbetade på Microsoft i mitten till slutet av 2000-talet banade väg för buggpremier och övertygade företaget att anta "samordnat avslöjande" istället för "ansvarsfullt avslöjande."
"Att åberopa termen 'ansvarsfullt' avslöjande var första strecket i min bok," sa Moussouris till TechCrunch. "Att lägga till ett hot om åtal genom att nämna [Digital Crimes Unit] var överdrivet, och kommer bara att leda till att säkerhetsforskare misstror Microsoft." Hon varnade för att förlorat forskarförtroende kan skapa en avkylande effekt, vilket gör "det mindre säkert för oss alla."
Säkerhetsforskaren och tidigare Microsoft-anställde Kevin Beaumont kritiserade också företaget och beskrev dess position som en "soptipp av egen tillverkning." "Proof of concept-exploateringsskapande och distribution för zero-days är 'kriminell verksamhet' nu?" skrev Beaumont. "Ansvarsfullt avslöjande ganska