Bir güvenlik araştırmacısı, Microsoft ürünlerindeki yamalanmamış hataları -exploit koduyla birlikte- yayınladıktan sonra şirket, bunları düzeltmek yerine polisi aramakla tehdit etti. Microsoft'un üstü kapalı yasal tehdidi, güvenlik araştırmacılarının kendi yazılımlarını yamamaya zahmet etmeyen trilyon dolarlık teknoloji devlerine karşı herhangi bir yükümlülüğü olup olmadığı konusundaki uzun süredir devam eden tartışmayı yeniden alevlendirdi.

Çarşamba günü Microsoft, "Nightmare Eclipse" olarak bilinen araştırmacıyı, BlueHammer, RedSun UnDefend ve YellowKey gibi isimler taşıyan bir dizi hatayı kamuya açıklamakla eleştiren bir blog yazısı yayınladı - kulağa güvenlik açıklarından çok reddedilmiş Power Rangers kötü adamları gibi geliyor. Kusurlar, Windows'un yerleşik antivirüs motoru Defender ve disk şifreleme aracı BitLocker dahil olmak üzere ürünleri etkiledi.

Microsoft'un temel şikayeti, araştırmacının hataları özel olarak bildirmemesi, böylece şirketin önce bunları düzeltebilmesiydi. Microsoft'a göre bu "sorumlu" bir davranış olurdu. Şirket ayrıca, bir yama mevcut olmadan önce exploit ayrıntılarını yayınlamanın kötü niyetli bilgisayar korsanlarına yardımcı olabileceğini savunuyor - ve gerçekten de, hem Microsoft'a hem de ABD siber güvenlik ajansı CISA'ya göre, güvenlik açıklarının bazıları o zamandan beri gerçek dünya saldırılarında kullanıldı.

"Dijital Suçlar Birimimiz, bu aktörlere ve suç faaliyetlerini mümkün kılanlara karşı davalar açmaya devam edecek - gerektiğinde dünya çapındaki kolluk kuvvetleriyle koordineli olarak," diye yazdı Microsoft. Dijital Suçlar Birimi'nin web sitesine göre misyonu, "hukuki eylemler, teknik karşı önlemler, cezai başvurular ve kamu-özel ortaklıklarını" içeriyor. Yani, özünde, birisi size kaba davrandığı için babanızı aramanın kurumsal versiyonu.

Geçtiğimiz birkaç hafta içinde yayınlanan bir dizi blogda Nightmare Eclipse, Microsoft'la iletişim halinde olduklarını ancak kötü muamele gördüklerini - Microsoft Güvenlik Yanıt Merkezi hesaplarının iptal edilmesi dahil - iddia etti. İma ettikleri, güvenlik açıklarını kamuya açıklamaktan başka seçeneklerinin olmadığı, böylece onları sıfırıncı gün açıklarına dönüştürdükleriydi: ifşa anında etkilenen yazılım üreticisi tarafından bilinmeyen güvenlik kusurları.

Araştırmacı, hataları GitHub ve GitLab'da yayınladı - her iki platformda da hesapları o zamandan beri yasaklandı. Ne Nightmare Eclipse ne de Microsoft yorum taleplerine yanıt vermedi.

Bu kamuoyu tartışması, hâlâ tartışmalı olan bir tartışmayı yeniden canlandırıyor: Bağımsız güvenlik araştırmacılarının buldukları güvenlik açıklarının düzeltilmesini sağlama görevi var mı? Ve ürünleri savunmasız olan şirketlerin bunları gerçekten düzeltmesini sağlamak için ne kadar ileri gitmelidirler?

Bu tartışmanın bir kısmı çözüldü: araştırmacılar ödeme almayı hak ediyor. Yıllar süren mücadele - kısmen 2009'daki "Artık Ücretsiz Hata Yok" kampanyasıyla yakalanan - ancak neredeyse 20 yıl sonra, çoğu şirket özel ifşalar için altı haneli veya daha fazla ödeme yapabilen hata ödülleri ödüyor.

Bu son tartışmaya yanıt olarak, sayısız araştırmacı Microsoft'a hata bildirme konusundaki kötü deneyimlerini paylaştı. Siber güvenlik topluluğu sesli bir şekilde mutsuz. Bu, Luta Security'nin kurucusu Katie Moussouris'i de içeriyor; kendisi 2000'lerin ortalarında Microsoft'ta çalışırken hata ödüllerine öncülük etmiş ve şirketi "sorumlu ifşa" yerine "koordineli ifşa"yı benimsemeye ikna etmişti.

"'Sorumlu' ifşa terimini kullanmak benim kitabımda ilk saldırıydı," dedi Moussouris TechCrunch'a. "[Dijital Suçlar Birimi'nden] bahsederek kovuşturma tehdidi eklemek aşırıydı ve yalnızca güvenlik araştırmacılarının Microsoft'a güvenmemesine yol açacak." Araştırmacı güvenini kaybetmenin caydırıcı bir etki yaratabileceği ve "hepimiz için daha az güvenli hale getirebileceği" konusunda uyardı.

Güvenlik araştırmacısı ve eski Microsoft çalışanı Kevin Beaumont da şirketi eleştirerek pozisyonunu "kendi yarattığı bir çöp ateşi" olarak tanımladı. "Sıfırıncı gün açıkları için proof-of-concept exploit oluşturma ve dağıtımı artık 'suç faaliyeti' mi?" diye yazdı Beaumont. "Sorumlu ifşa oldukça..."