Araştırmacı, istismar kodu içeren yamalanmamış açıkları yayımlayınca Microsoft yasal işlemle tehdit etti
Açık açıklama anlaşmazlığı yüzünden Microsoft eleştiri altında
Microsoft, ürünlerindeki bir dizi yamalanmamış güvenlik açığını ve bunları gösteren proof-of-concept istismar kodunu kamuya açıklayan bir güvenlik araştırmacısına karşı yasal işlem başlatabileceği ve kolluk kuvvetlerini devreye sokabileceği yönündeki uyarısının ardından eleştirilerle karşılaşıyor.
Çarşamba günü yayımlanan bir blog yazısında şirket, "Nightmare Eclipse" takma adını kullanan araştırmacıyı Windows Defender ve BitLocker dahil olmak üzere etkilendiğini söylediği ürünlere ilişkin açık detaylarını yayımladığı için eleştirdi. Microsoft, açıklamanın yamalar uygulanmadan önce yapıldığını belirterek bunun "sorumlu" bir bildirim olmadığını söyledi.
Şirketin tepkisi, güvenlik araştırmacılarının, özellikle Microsoft gibi kaynakları geniş bir şirketin yaygın olarak kullanılan araçlarını etkileyen açıklarla karşılaştıklarında, bu tür açıkları nasıl ele almaları gerektiği konusundaki uzun süredir devam eden tartışmayı yeniden alevlendirdi.
Microsoft ve ABD siber güvenlik ajansı CISA'ya göre, Nightmare Eclipse tarafından açıklanan bazı açıklar sonrasında kötü niyetli aktörler tarafından gerçek dünya saldırılarında kullanıldı. Şirket ayrıca, kolluk kuvvetleriyle koordinasyon da dahil olmak üzere suç faaliyetlerine katkıda bulunduğuna inandıkları kişiler aleyhinde davaları takip etmeye Dijital Suçlar Birimi ile birlikte devam edeceğini söyledi.
Nightmare Eclipse, son birkaç hafta içinde yayımladığı bir dizi blog yazısında Microsoft ile iletişim kurduğunu iddia etti ve şirketin kendilerine kötü muamele ettiğini söyledi. Araştırmacı, Microsoft'un araştırmacıların güvenlik açıklarını bildirmek için kullandığı portal olan Microsoft Güvenlik Yanıt Merkezi hesabına erişimini iptal ettiğini öne sürdü. Araştırmacıya göre bu durum, kamuya açıklamayı tek seçenek haline getirdi.
Açıklar daha sonra açık kaynak depolarında yayımlandı ve bu yayımlara nasıl istismar edilebileceklerini göstermek amacıyla kod eşlik etti. Yamalar uygulanmadan ifşa edildiklerinde, bu sorunlar sıfır-günler haline geldi — açıklama veya istismar anında yazılım üreticisi tarafından bilinmeyen açıklar.
Microsoft'un eleştirisi, araştırmacının önce özel olarak bildirimde bulunması gerektiği argümanı etrafında şekilleniyor. Araştırmacının blog yazılarında sunduğu pozisyon ise Microsoft'un durumu ele alış biçiminin kendilerine sorumlu bildirim yapmak için anlamlı bir yol bırakmadığı yönünde. Anlaşmazlık, Microsoft'un güvenlik yanıt sürecini sorgu altına alırken; kamu yararına araştırma ile saldırganlara yardımcı olabilecek davranış arasındaki çizginin nerede olduğu konusunda yeni sorular da doğuruyor.
Kaynaklar:
Gizli olarak gezin Doppler VPN ile — kayıt yok, tek dokunuşla bağlan.