Microsoft ayatisha hatua za kisheria baada ya mtafiti kuchapisha mende zisizorekebishwa pamoja na msimbo wa kushambulia
Microsoft inashutumiwa kuhusu mgogoro wa ufunuo
Microsoft inakabiliwa na ukosoaji baada ya kutishia kuwa itachukua hatua za kisheria na kuhusisha vyombo vya sheria dhidi ya mtafiti wa usalama aliyefichua hadharani mfululizo wa mende zisizorekebishwa katika bidhaa zake, pamoja na msimbo wa uthibitisho-wa-dhahania wa kushambulia.
Katika chapisho la blogu lililochapishwa Jumatano, kampuni ilimshtumu mtafiti, anayetumia jina la mtandao “Nightmare Eclipse,” kwa kuchapisha maelezo ya mende ambayo inadai yaliathiri bidhaa zikiwemo Windows Defender na BitLocker. Microsoft ilisema ufunuo huo haukuwa “wa kuwajibika” kwa sababu mende hazikuwekwa dozi kabla ya taarifa kutangazwa hadharani.
Jibu la kampuni limezua tena mjadala uliodumu kwa muda mrefu juu ya jinsi watafiti wa usalama wanavyopaswa kushughulikia udhaifu katika majukwaa makubwa ya programu, hasa pale ambapo mende zinavyoathiri zana zinazotumika sana kutoka kwa kampuni yenye rasilimali kama za Microsoft.
Microsoft ilisema baadhi ya mende zilizofichuliwa na Nightmare Eclipse zimetumika na wahalifu wa mtandao katika mashambulizi ya dunia halisi, kulingana na kampuni na wakala wa usalama wa mtandao wa Marekani CISA. Pia ilisema kitengo chake cha Digital Crimes Unit kitaendelea kufuatilia kesi dhidi ya wale wanaoaminika kuchangia shughuli za uhalifu, ikiwa ni pamoja na kupitia uratibu na vyombo vya sheria.
Nightmare Eclipse, katika mfululizo wa machapisho ya blogu katika wiki chache zilizopita, alidai kuwa alikuwa katika mawasiliano na Microsoft na kusema kampuni ilimdhulumu. Mtafiti huyo alidai Microsoft ilimkata ufikiaji wa akaunti yake ya Microsoft Security Response Center, lango linalotumiwa na watafiti kuripoti mende. Hilo, mtafiti alisema, liliiacha ufunuo wa umma kuwa chaguo pekee.
Mende hizo baadaye zilikabidhiwa kwenye hazina za open source, ambapo zilifuatwa na msimbo uliokusudiwa kuonyesha jinsi zingetumika kwa kushambulia. Mara zilipofichuliwa bila vidonge vya usalama vilivyowekwa, masuala hayo yakawa zero-day — dosari ambazo hazikujulikana kwa mtengenezaji wa programu wakati wa ufunuo au matumizi yake.
Ukosoaji wa Microsoft umekazia hoja kwamba mtafiti angepaswa kuripoti mende hizo kwa njia ya faragha kwanza. Msimamo wa mtafiti, kama ulivyoonyeshwa katika machapisho ya blogu, ni kwamba jinsi Microsoft ilivyoshughulikia hali hiyo ilimwacha bila njia yenye maana ya ufunuo unaowajibika. Mgogoro huo sasa unaweka chini ya uchunguzi mchakato wa Microsoft wa majibu ya usalama, huku ukileta maswali mapya kuhusu wapi mstari unaogatuliwa kati ya utafiti wa maslahi ya umma na tabia inayoweza kusaidia washambuliaji.
Vyanzo:
Vinjari kwa faragha kwa kutumia Doppler VPN — hakuna rekodi, ungana kwa kugusa mara moja.