Microsoft погрожує кримінальною справою досліднику, який оприлюднив експлойти
- Ярослава Несисюк
- 1 годину тому
- Читати 1 хв
Microsoft опинилася в центрі критики через конфлікт із користувачем під псевдонімом Nightmare Eclipse, який публікував демонстраційний код для експлойтів нульового дня — помилки, для якої ще немає офіційного виправлення.
Дослідник кібербезпеки Кевін Бомонт звернув увагу на те, як компанія відреагувала на ситуацію та на власну історію співпраці з хакерами й дослідниками вразливостей.
Microsoft пригрозила кримінальною справою
За словами Бомонта, Microsoft заявила про намір порушити кримінальну справу проти Nightmare Eclipse через порушення правил «відповідального розкриття» вразливостей.
Компанія також заблокувала акаунти користувача в GitHub, GitLab та Microsoft Security Response Center. Частина повідомлень Nightmare Eclipse може свідчити про конфлікт із Microsoft або можливий статус колишнього співробітника компанії.
Бомонт звернув увагу на суперечність у підході Microsoft.
Він зазначив, що після блокування акаунтів досліднику фактично стає неможливо надалі «відповідально» повідомляти про нові вразливості через офіційні канали компанії.
Попередня співпраця Microsoft із хакерами
Кевін Бомонт також заявив, що Microsoft раніше співпрацювала з людьми, які робили подібні речі: публічно розкривали експлойти нульового дня або навіть мали судимості, пов’язані з хакерською діяльністю.
Окрім цього, Microsoft купувала експлойти у брокерів вразливостей.
На думку Бомонта, спроба криміналізувати порушення внутрішніх правил «відповідального розкриття» може створити проблеми для самої компанії у випадку судового процесу.
Він вважає, що в такому разі можуть бути публічно згадані попередні рішення Microsoft щодо співпраці з дослідниками безпеки та хакерами.
Дискусія навколо «відповідального розкриття» триває
Конфлікт навколо Nightmare Eclipse знову загострив дискусію про межі «відповідального розкриття» вразливостей.
Частина компаній вимагає, щоб дослідники спочатку повідомляли про проблеми безпеки приватно та давали час на виправлення помилок.
Водночас частина дослідників вважає, що жорсткі обмеження або блокування акаунтів можуть стримувати незалежні дослідження у сфері кібербезпеки.
