Microsoft ameaça ação legal depois que pesquisador publica bugs não corrigidos com código de exploração
Microsoft sob fogo por disputa sobre divulgação
A Microsoft enfrenta críticas depois de avisar que pode recorrer a ação legal e envolver as forças de segurança contra um pesquisador de segurança que divulgou publicamente uma série de vulnerabilidades não corrigidas em seus produtos, juntamente com código de prova de conceito para exploração.
Em um post de blog publicado na quarta-feira, a empresa criticou o pesquisador, que usa o pseudônimo “Nightmare Eclipse”, por publicar detalhes de bugs que, segundo a empresa, afetaram produtos incluindo Windows Defender e BitLocker. A Microsoft disse que a divulgação não foi “responsável” porque as falhas não haviam sido corrigidas antes de as informações serem tornadas públicas.
A resposta da empresa reacendeu um debate de longa data sobre como pesquisadores de segurança devem lidar com vulnerabilidades em grandes plataformas de software, especialmente quando as falhas afetam ferramentas amplamente usadas por uma empresa com os recursos da Microsoft.
A Microsoft afirmou que algumas das vulnerabilidades divulgadas por Nightmare Eclipse foram desde então usadas por hackers em ataques no mundo real, segundo a empresa e a agência de segurança cibernética dos EUA, CISA. Também disse que sua Digital Crimes Unit continuará a perseguir casos contra aqueles que acredita contribuírem para atividade criminosa, inclusive por meio de coordenação com as forças de segurança.
Nightmare Eclipse, em uma série de posts no blog nas últimas semanas, alegou ter entrado em contato com a Microsoft e disse que a empresa os tratou mal. O pesquisador afirmou que a Microsoft revogou o acesso à sua conta no Microsoft Security Response Center, o portal que pesquisadores usam para reportar vulnerabilidades. Isso, sugeriu o pesquisador, deixou a divulgação pública como a única opção.
Os bugs foram então publicados em repositórios open source, onde foram acompanhados por código destinado a demonstrar como poderiam ser explorados. Uma vez divulgadas sem patches em vigor, as questões se tornaram vulnerabilidades dia-zero — falhas desconhecidas pelo fabricante do software no momento da divulgação ou da exploração.
A crítica da Microsoft se centra no argumento de que o pesquisador deveria ter reportado os bugs de forma privada primeiro. A posição do pesquisador, conforme apresentada nos posts do blog, é que o tratamento da Microsoft no caso não lhes deixou um caminho significativo para uma divulgação responsável. A disputa agora coloca o processo de resposta a segurança da Microsoft sob escrutínio, ao mesmo tempo em que levanta novas questões sobre onde fica a linha entre pesquisa de interesse público e conduta que pode auxiliar atacantes.
Fontes:
Navegue privadamente com Doppler VPN — sem registros, conexão com um toque.