Microsoft опинилася в центрі дискусії в професійній спільноті кібербезпеки після публічного конфлікту з дослідником, відомим під псевдонімом Nightmare Eclipse.

Причиною суперечки стало оприлюднення інформації про кілька вразливостей, які, за твердженням дослідника, стосувалися компонентів захисту Windows, зокрема Windows Defender та BitLocker. Серед них згадуються експлойти BlueHammer, RedSun UnDefend і YellowKey.

Позиція Microsoft

У Microsoft заявили, що дослідник не дотримався принципів відповідального розкриття вразливостей та опублікував технічні деталі до того, як компанія встигла підготувати необхідні виправлення.

За словами представників компанії, після публікації інформації окремі вразливості почали використовуватися зловмисниками в реальних атаках. Також Microsoft натякнула на можливість правових дій через свій підрозділ із боротьби з цифровими злочинами.

Аргументи дослідника

Сам Nightmare Eclipse стверджує, що намагався повідомити компанію про знайдені проблеми через програму Microsoft Security Response Center (MSRC).

За його словами, після звернення його обліковий запис був заблокований, що унеможливило подальшу взаємодію з компанією. Саме після цього він вирішив оприлюднити інформацію публічно.

Реакція спільноти

Інцидент викликав активне обговорення серед фахівців із кібербезпеки. Частина дослідників заявила про власний негативний досвід взаємодії з програмами пошуку вразливостей Microsoft.

Засновниця Luta Security Katie Moussouris застерегла, що надто жорстка реакція великих корпорацій може створити так званий «охолоджувальний ефект». У такому випадку незалежні дослідники можуть втратити мотивацію повідомляти про знайдені проблеми безпеки.

Критично висловився і колишній співробітник Microsoft Kevin Beaumont. На його думку, спроби прирівняти публікацію proof-of-concept-коду до злочинної діяльності можуть негативно вплинути на довіру між дослідниками та технологічними компаніями.

Дискусія про відповідальне розкриття

Ситуація вкотре привернула увагу до складного балансу між кількома аспектами:

• безпекою користувачів;
• правом дослідників аналізувати програмне забезпечення;
• прозорістю процесу повідомлення про вразливості;
• відповідальністю компаній за своєчасне усунення проблем.

Подібні конфлікти регулярно виникають у сфері кібербезпеки, де інтереси виробників програмного забезпечення та незалежних дослідників не завжди збігаються. Водночас більшість експертів погоджується, що ефективна співпраця між сторонами залишається одним із ключових чинників підвищення загального рівня цифрової безпеки.