Microsoft угрожает подать в суд на исследователей, которые раскрывают уязвимости, обвиняемых в двойных стандартах для подавления сотрудников, раскрывающих информацию нулевого дня

Недавно Microsoft подверглась критике за обработку уязвимостей нулевого дня. Исследователь безопасности, называющий себя «Nightmare Eclipse», публично опубликовал несколько кодов для проверки концепции использования уязвимостей и вступил в публичный конфликт с Microsoft. Некоторые из его замечаний предполагают, что он мог быть бывшим сотрудником Microsoft.

Исследователь кибербезопасности Кевин Бомонт заметил не только сами уязвимости, но и то, как Microsoft отреагировала. В своем официальном заявлении Microsoft заявила, что планирует рассмотреть возможность уголовного преследования против Nightmare Eclipse на том основании, что исследователь не раскрыл уязвимость в соответствии с «соответствующими процедурами координации» и последовательно заблокировал связанные с ней учетные записи в GitHub, GitLab и Microsoft Security Response Center.

Бомонт отметил, что после того, как учетная запись клиента будет полностью заблокирована, будет практически невозможно сообщать о будущих уязвимостях безопасности через так называемые каналы Microsoft «ответственного раскрытия информации». Он также подчеркнул, что еще более иронично то, что Microsoft уже давно нанимает людей, которые публично публикуют коды эксплойтов нулевого дня, в том числе людей с уголовным прошлым. В то же время компания также приобретает программы-эксплойты у брокеров уязвимостей.

По мнению Бомонта, нынешняя попытка Microsoft криминализировать «несоблюдение часто довольно произвольной системы «ответственного раскрытия информации»» несостоятельна. Он предупредил, что как только такое дело будет передано в суд, прошлые решения Microsoft о приеме на работу, стратегии безопасности и торговле уязвимостями будут выложены на стол, образуя «клоунскую машину, полную противоречивых фактов», что затрудняет оправдание себя в судебном порядке.

Судя по всему инциденту, Microsoft не только полагалась на сообщество исследователей безопасности, но также покупала и нанимала экспертов по безопасности, которые использовали подобное поведение. С другой стороны, на публично раскрытых лиц он ответил чрезвычайно жесткими и даже шокирующими уголовными обвинениями. Соответствующие разногласия назревают в кругах специалистов по безопасности, а также возобновили дискуссии о том, что представляет собой «ответственное раскрытие информации» и о границах полномочий крупных технологических компаний в игре по раскрытию уязвимостей.