Microsoft попередила дослідника безпеки про можливе кримінальне переслідування – Nightmare Eclipse розкрив уразливості Windows Defender – новини технологій

Експерти висловлюють занепокоєння, що конфлікт може відштовхнути фахівців від повідомлень про виявлені недоліки.

Microsoft потрапила під критику з боку кібербезпекової спільноти після того, як пригрозила юридичними наслідками досліднику, який опублікував невиправлені вразливості в продуктах компанії. Експерти вважають, що така позиція може підірвати довіру до програм розкриття помилок і зменшити кількість повідомлень про серйозні загрози, повідомляє TechCrunch.

Конфлікт виник після того, як дослідник під псевдонімом Nightmare Eclipse оприлюднив дані про кілька вразливостей, серед яких BlueHammer, RedSun, UnDefend і YellowKey, а також код для експлуатації деяких з них у продуктах Microsoft. За словами дослідника, ці недоліки впливали на такі продукти, як Windows Defender і система шифрування дисків BitLocker.

У своєму блозі Microsoft розкритикувала фахівця за те, що він не дотримався стандартної процедури повідомлення про вразливості. Компанія підкреслила, що дослідник не надав часу для виправлення помилок перед їхнім публічним розголошенням.

Microsoft також зазначила, що частину опублікованих вразливостей вже використали хакери в реальних атаках. На це, за словами компанії, вказують її власні дані та інформація від американського агентства з кібербезпеки CISA (Cybersecurity and Infrastructure Security Agency).

“Наш відділ цифрових злочинів продовжуватиме порушувати справи проти цих осіб та тих, хто підтримує їхню злочинну діяльність, координуючи свої дії за потреби з правоохоронними органами по всьому світу,” — написали в Microsoft.

Сам Nightmare Eclipse стверджує, що раніше намагався взаємодіяти з Microsoft через платформу Microsoft Security Response Center. За його словами, компанія відкликала йому доступ до системи повідомлення про вразливості, після чого він вирішив оприлюднити знайдені проблеми. Після публікації інформації облікові записи дослідника на платформах GitHub і GitLab були заблоковані.

Ситуація викликала різку реакцію серед експертів з кібербезпеки. Засновниця компанії Luta Security та одна з піонерок програм винагород за виявлення помилок Кеті Муссуріс зазначила, що риторика Microsoft може негативно вплинути на відносини з дослідницькою спільнотою.

“Використання терміна “відповідальне” розкриття інформації стало першим недоліком у моїй книзі. Додавання загрози судового переслідування через згадку (Підрозділу цифрових злочинів) було надмірним,” — заявила Муссуріс.

На думку Муссуріс, втрата довіри може мати тривалі наслідки для всієї галузі. Якщо дослідники перестануть повідомляти про виявлені вразливості, це може негативно вплинути на безпеку програмного забезпечення та користувачів.

Критика на адресу Microsoft прозвучала також від дослідника безпеки та колишнього співробітника компанії Кевіна Бомонта. У своєму блозі він охарактеризував ситуацію як “пожежу на сміттєзвалищі власного виробництва” та поставив під сумнів спроби трактувати публікацію доказів концепції експлойтів як кримінальну діяльність.

Нещодавно платформа GitHub виявила несанкціонований доступ зловмисників до приблизно 3 800 своїх внутрішніх репозиторіїв. Інцидент стався через злам пристрою співробітника компанії за допомогою шкідливого розширення для редактора Visual Studio Code.