Microsoft dreigt onderzoekers aan te klagen die kwetsbaarheden openbaar maken, beschuldigd van dubbele standaarden om zero-day-openbaarmakingspersoneel te onderdrukken

Microsoft heeft de laatste tijd kritiek gekregen vanwege de aanpak van zero-day-kwetsbaarheden. Een beveiligingsonderzoeker die zichzelf "Nightmare Eclipse" noemt, heeft publiekelijk meerdere proof-of-concept-codes vrijgegeven voor het misbruiken van kwetsbaarheden en had een openbaar conflict met Microsoft. Sommige van zijn opmerkingen suggereerden dat hij mogelijk een voormalige Microsoft-werknemer was.

Wat cybersecurity-onderzoeker Kevin Beaumont opmerkte waren niet alleen de kwetsbaarheden zelf, maar ook hoe Microsoft reageerde. Microsoft zei in zijn officiële verklaring dat het van plan is strafrechtelijke vervolging tegen Nightmare Eclipse te overwegen op grond van het feit dat de onderzoeker de kwetsbaarheid niet openbaar heeft gemaakt volgens "gepaste coördinatieprocedures" en achtereenvolgens de gerelateerde accounts in GitHub, GitLab en het Microsoft Security Response Center heeft verboden.

Beaumont wees erop dat nadat het account van de klant volledig is verboden, het vrijwel onmogelijk zal zijn om toekomstige beveiligingskwetsbaarheden te melden via de zogenaamde "responsible Disclosure"-kanalen van Microsoft. Hij benadrukte ook dat wat nog ironischer is, is dat Microsoft al geruime tijd een aantal mensen in dienst heeft die publiekelijk zero-day exploitcodes hebben gepubliceerd, waaronder mensen met een strafblad. Tegelijkertijd koopt het bedrijf ook exploitprogramma's van kwetsbaarheidsmakelaars.

Volgens Beaumont is de huidige poging van Microsoft om “niet-naleving van het vaak tamelijk willekeurige ‘responsible Disclosure’-raamwerk” strafbaar te stellen, onhoudbaar. Hij waarschuwde dat zodra een dergelijke zaak voor de rechter wordt gebracht, de eerdere beslissingen van Microsoft over de aanwerving, de beveiligingsstrategie en de handel in kwetsbaarheden allemaal op tafel zullen komen, waardoor het voor Microsoft moeilijk wordt om zichzelf te rechtvaardigen onder rechterlijke toetsing.

Afgaande op het hele incident vertrouwde Microsoft niet alleen op de beveiligingsonderzoeksgemeenschap, maar kocht en huurde ook beveiligingsexperts in die soortgelijk gedrag hadden uitgebuit. Aan de andere kant reageerde het op publiekelijk bekendgemaakte personen met extreem zware en zelfs schokkende strafrechtelijke vervolgingen. Relevante controverses zijn aan het gisten in de veiligheidskring, en hebben ook de discussies over wat ‘verantwoorde openbaarmaking’ inhoudt en over de grenzen van de macht van grote technologiebedrijven in het spel van het openbaar maken van kwetsbaarheden, nieuw leven ingeblazen.