مایکروسافت پس از انتشار باگ‌های وصله‌نشده و کد اکسپلویت از سوی یک پژوهشگر، تهدید به اقدام قانونی کرد

مایکروسافت زیر آتش انتقادها بر سر اختلاف درباره افشا

مایکروسافت با انتقاد مواجه شده است پس از اینکه هشدار داد ممکن است علیه پژوهشگری حقوقی اقدام کند و نهادهای انتظامی را وارد ماجرا سازد؛ پژوهشگری که مجموعه‌ای از آسیب‌پذیری‌های وصله‌نشده در محصولات این شرکت را همراه با کد اثبات مفهوم (proof-of-concept) افشا کرد.

در یک پست وبلاگی که روز چهارشنبه منتشر شد، شرکت از پژوهشگری که از نام کاربری «Nightmare Eclipse» استفاده می‌کند، به‌خاطر انتشار جزئیاتی درباره باگ‌هایی که به گفته این شرکت محصولات مختلفی از جمله Windows Defender و BitLocker را تحت‌تأثیر قرار می‌دادند، انتقاد کرد. مایکروسافت گفت این افشا «مسئولانه» نبوده چون ضعف‌ها قبل از عمومی شدن اطلاعات وصله نشده بودند.

واکنش شرکت بحث دیرینه‌ای را درباره نحوه مواجهه پژوهشگران امنیتی با آسیب‌پذیری‌ها در پلتفرم‌های بزرگ نرم‌افزاری، به‌ویژه زمانی که ضعف‌ها ابزارهای پرکاربرد یک شرکت با منابع مایکروسافت را تحت‌تأثیر قرار می‌دهند، دوباره شعله‌ور کرده است.

مایکروسافت گفت برخی از آسیب‌پذیری‌هایی که توسط Nightmare Eclipse افشا شدند، از آن زمان توسط هکرها در حملات دنیای واقعی مورد استفاده قرار گرفته‌اند، طبق گفته خود شرکت و آژانس امنیت سایبری ایالات متحده (CISA). این شرکت همچنین گفت واحد جرایم دیجیتال آن ادامه خواهد داد تا علیه کسانی که به اعتقادش در فعالیت‌های مجرمانه مشارکت دارند، از جمله از طریق هماهنگی با نهادهای انتظامی، پیگیری قانونی انجام دهد.

Nightmare Eclipse در سلسله پست‌های وبلاگی طی چند هفته گذشته ادعا کرده با مایکروسافت در تماس بوده و گفته شرکت با او بدرفتاری کرده است. این پژوهشگر مدعی شد مایکروسافت دسترسی او به حساب مرکز پاسخگویی امنیتی مایکروسافت (Microsoft Security Response Center) را لغو کرده است، درگاهی که پژوهشگران برای گزارش آسیب‌پذیری‌ها از آن استفاده می‌کنند. پژوهشگر چنین القا کرد که این اقدام، افشای عمومی را به‌عنوان تنها گزینه باقی گذاشته است.

سپس باگ‌ها در مخازن متن‌باز منتشر شدند، جایی که همراه با کدی بودند که برای نشان‌دادن نحوه سوءاستفاده از آنها تهیه شده بود. پس از افشا بدون وجود وصله، این مسائل تبدیل به روز-صفر شدند — ضعف‌هایی که در زمان افشا یا بهره‌برداری برای شرکت سازنده ناشناخته بودند.

انتقاد مایکروسافت بر این استدلال متمرکز است که پژوهشگر باید ابتدا باگی را به‌صورت خصوصی گزارش می‌داد. موضع پژوهشگر، همان‌طور که در پست‌های وبلاگی مطرح شده، این است که نحوه رسیدگی مایکروسافت آنها را در مسیری معنادار برای افشای مسئولانه قرار نداد. این اختلاف اکنون فرآیند پاسخ امنیتی مایکروسافت را زیر ذره‌بین قرار داده و سوالات تازه‌ای را درباره تعیین مرز میان پژوهش به نفع عموم و رفتاری که می‌تواند به مهاجمان کمک کند، مطرح کرده است.

منابع:

• techcrunch.com

به‌صورت خصوصی با Doppler VPN مرور کنید — بدون لاگ‌ها، اتصال با یک لمس.