Експерти висловлюють занепокоєння, що конфлікт може відлякати фахівців від повідомлень про виявлені недоліки.
Компанія Microsoft потрапила під критику з боку кібербезпекової спільноти після того, як пригрозила юридичними наслідками досліднику, який оприлюднив невиправлені вразливості в її продуктах. Експерти вважають, що така позиція може підірвати довіру до програм розкриття помилок і зменшити кількість повідомлень про критичні загрози, повідомляє TechCrunch.
Конфлікт виник після того, як дослідник під псевдонімом Nightmare Eclipse оприлюднив дані про ряд вразливостей, серед яких BlueHammer, RedSun, UnDefend і YellowKey, а також код для експлуатації кількох з них у продуктах Microsoft. За словами дослідника, ці недоліки впливали на такі програми, як Windows Defender та система шифрування дисків BitLocker.
У своєму блозі Microsoft розкритикувала фахівця за те, що він не дотримався стандартної процедури повідомлення про вразливості. У компанії підкреслили, що дослідник не надав часу для виправлення помилок перед їхнім публічним розголошенням.
Microsoft також зазначила, що частина опублікованих вразливостей вже була використана хакерами в реальних атаках. На це, за словами компанії, вказують її власні дані та інформація від американського агентства з кібербезпеки CISA (Cybersecurity and Infrastructure Security Agency).
“Наш підрозділ цифрових злочинів продовжуватиме порушувати справи проти цих осіб та тих, хто сприяє їхній злочинній діяльності, координуючи свої дії за потреби з правоохоронними органами по всьому світу”, — зазначили в Microsoft.
Сам Nightmare Eclipse стверджує, що раніше намагався взаємодіяти з Microsoft через платформу Microsoft Security Response Center. За його словами, компанія відкликала його доступ до системи повідомлення про вразливості, після чого він вирішив оприлюднити знайдені проблеми. Після публікації інформації облікові записи дослідника на платформах GitHub і GitLab були заблоковані.
Ситуація викликала різку реакцію серед експертів з кібербезпеки. Засновниця компанії Luta Security та одна з піонерок програм винагород за виявлення помилок Кеті Муссуріс зазначила, що риторика Microsoft може негативно вплинути на відносини з дослідницькою спільнотою.
“Використання терміна “відповідальне” розкриття інформації було першим недоліком у моїй книзі. Додавання загрози судового переслідування шляхом згадки (Підрозділу цифрових злочинів) було надмірним”, — заявила Муссуріс.
На думку Муссуріс, втрата довіри може мати тривалі наслідки для всієї галузі. Якщо дослідники перестануть повідомляти про виявлені вразливості, це може негативно вплинути на безпеку програмного забезпечення та користувачів.
Критичні зауваження на адресу Microsoft висловив і дослідник безпеки та колишній співробітник компанії Кевін Бомонт. У своєму блозі він охарактеризував ситуацію як “пожежу на сміттєзвалищі власного виробництва” та поставив під сумнів спроби трактувати публікацію доказів концепції експлойтів як кримінальну діяльність.
Нещодавно платформа GitHub зафіксувала несанкціонований доступ зловмисників до приблизно 3 800 своїх внутрішніх репозиторіїв. Інцидент стався через злам пристрою співробітника компанії за допомогою шкідливого розширення для редактора Visual Studio Code.