Як повідомляє Heise, Microsoft вплутався в малопродуктивний конфлікт із дослідником безпеки, втрачаючи решту довіри спільноти. Приводом стала публікація церо-даи-уразливості в Віндовс під назвою «Блуегаммер» на початку квітня користувачем із псевдонімом Ніггтмаре Екліпсе. Супровідний допис у блозі був коротким і не містив технічних деталей — натомість дослідник звернувся безпосередньо до Microsoft: «Я не блефував, Microsoft, і зроблю це знову».
Ескалація через блокування акаунтів
У наступні тижні Екліпсе опублікував інші вразливості під назвами «РедСун», «УнДефенд», «ГреенПласма», «ИелловКеи» та «МініПласма» — чіткий сигнал, що погроза була серйозною. Замість того, щоб закрити тепер уже публічно відомі вразливості, Microsoft відреагував, очевидно, емоційно: компанія домоглася видалення ГітГуб-акаунта дослідника, через який відбувалися публікації, а також ГітЛаб-акаунта, на який Екліпсе перейшов. Було видалено й акаунт для комунікації з Microsoft Секуріти Респонсе Кентер (MSRC).
Втрата довіри в галузі безпеки
Цей випадок демонструє фундаментальну проблему у взаємодії з дослідниками безпеки. Замість співпраці Microsoft обирає конфронтацію — підхід, який у довгостроковій перспективі руйнує довіру спільноти. Дослідники безпеки залежать від доброї співпраці з виробниками, щоб відповідально повідомляти про вразливості. Якщо Microsoft блокує акаунти замість того, щоб закривати вразливості, компанія ризикує тим, що майбутні відкриття взагалі не будуть повідомлені, а одразу оприлюднені.
Реакція Microsoft викликає питання: чому компанія не пріоритезує виправлення вразливостей? І як вона планує повернути довіру дослідників? Наразі офіційних коментарів щодо блокування акаунтів немає. Справа Ніггтмаре Екліпсе може стати тривожним дзвінком для галузі — або черговим кроком до конфронтаційної культури, яка зрештою шкодить усім.
Джерело: www.heise.de
