Microsoft оказалась в центре критики со стороны сообщества кибербезопасности после того, как пригрозила юридическими последствиями исследователю, который обнародовал неисправленные уязвимости в продуктах компании. Эксперты считают, что такая позиция может подорвать доверие к программам раскрытия ошибок и уменьшить количество сообщений о критических угрозах, передает TechCrunch.

Конфликт разгорелся после того, как исследователь под псевдонимом Nightmare Eclipse обнародовал информацию о ряде уязвимостей, среди которых BlueHammer, RedSun, UnDefend и YellowKey, и код для эксплуатации нескольких из них в продуктах Microsoft. По словам исследователя, недостатки влияли на такие продукты, как Windows Defender и система шифрования дисков BitLocker.

В своем блоге Microsoft раскритиковала специалиста за то, что он не придерживался стандартной процедуры сообщения об уязвимостях. В компании отметили, что исследователь не предоставил времени на исправление ошибок перед их публичным разглашением.

[see_also ids="683971"]

Microsoft также заявила, что часть опубликованных уязвимостей уже использовали хакеры в реальных атаках. На это, по словам компании, указывают ее собственные данные и информация от американского агентства по кибербезопасности CISA (Cybersecurity and Infrastructure Security Agency).

"Наш отдел цифровых преступлений будет продолжать возбуждать дела против этих лиц и тех, кто способствует их преступной деятельности, координируя свои действия при необходимости с правоохранительными органами по всему миру", — написали в Microsoft.

Сам Nightmare Eclipse утверждает, что ранее пытался взаимодействовать с Microsoft через платформу Microsoft Security Response Center. По его словам, компания отозвала ему доступ к системе уведомления об уязвимостях, после чего он решил обнародовать найденные проблемы. После публикации информации учетные записи исследователя на платформах GitHub и GitLab заблокировали.

[see_also ids="673662"]

Ситуация вызвала острую реакцию среди экспертов по кибербезопасности. Основательница компании Luta Security и одна из пионерок программ вознаграждений за обнаружение ошибок Кэти Муссурис заявила, что риторика Microsoft может нанести ущерб отношениям с исследовательским сообществом.

"Применение термина "ответственное" раскрытие информации было первым недостатком в моей книге. Добавление угрозы судебного преследования путем упоминания (Подразделения цифровых преступлений) было чрезмерным", — заявила Муссурис.

По мнению Муссурис, потеря доверия может иметь долгосрочные последствия для всей отрасли. Если исследователи перестанут сообщать о найденных уязвимостях, это может негативно повлиять на безопасность программного обеспечения и пользователей.

Критику в адрес Microsoft высказал и исследователь безопасности и бывший сотрудник компании Кевин Бомонт. В своем блоге он назвал ситуацию "пожаром на свалке собственного производства" и поставил под сомнение попытки трактовать публикацию доказательств концепции эксплойтов как криминальную деятельность.

Недавно платформа GitHub обнаружила несанкционированный доступ злоумышленников к примерно 3 800 своих внутренних репозиториев. Инцидент произошел из-за взлома устройства сотрудника компании с помощью вредоносного расширения для редактора Visual Studio Code.