Microsoft оказалась в центре критики из-за своего подхода к публичной публикации информации об уязвимостях нулевого дня. Компания угрожает судебным преследованием независимому исследователю безопасности, известному под псевдонимом Nightmare Eclipse, который размещает в открытом доступе код эксплойтов, доказывающий концепцию.
Конфликт и блокировка аккаунтов
Nightmare Eclipse ведёт публичную полемику с Microsoft, а некоторые его сообщения намекают, что он может быть недовольным бывшим сотрудником компании. В ответ Microsoft отключила его аккаунты на GitHub, GitLab и в Центре реагирования на угрозы безопасности Microsoft (MSRC). Компания также заявила, что рассматривает возможность возбуждения уголовного дела из-за несоблюдения исследователем «надлежащей координации» при раскрытии уязвимостей.
Как отмечает кибербезопасник Кевин Бомон, такая позиция создаёт парадоксальную ситуацию: «Довольно сложно „ответственно“ сообщать о будущих уязвимостях, когда тебя заблокировали».
Двойные стандарты?
Бомон обращает внимание на двойственность политики Microsoft. Компания сама нанимала на работу людей, которые публично размещали эксплойты для уязвимостей нулевого дня, в том числе имевших судимости за хакерскую деятельность. Кроме того, Microsoft неоднократно покупала информацию об эксплойтах у брокеров.
Подводя итог, Бомон заявляет: «Если тактика Microsoft заключается в том, чтобы криминализировать несоблюдение зачастую произвольных рамок „ответственного раскрытия“, то удачи защищать это в суде — потому что в процессе всплывёт целый клоунский автомобиль предыдущих решений внутри Microsoft и фактов».
