Microsoft пригрозила судом исследователю безопасности под псевдонимом Nightmare Eclipse, который опубликовал неисправленные уязвимости в продуктах компании (включая Defender и BitLocker) с кодом для их эксплуатации.
Компания заявила, что исследователь не сообщил о багах заранее, что могло помочь хакерам. Некоторые уязвимости уже используются в реальных атаках. Microsoft пообещала привлечь к ответственности «через гражданские иски и уголовные жалобы».
Nightmare Eclipse утверждает, что пытался связаться с Microsoft, но его аккаунт в центре безопасности заблокировали. Он выложил баги на GitHub и GitLab, где его аккаунты позже забанили.
Эксперты по безопасности критикуют Microsoft. Кэти Муссурис, бывший сотрудник компании, назвала угрозы «перебором» и предупредила, что это подорвет доверие исследователей. Кевин Бомонт охарактеризовал позицию Microsoft как «мусорный костер».
Спор напомнил о давней дискуссии: должны ли исследователи гарантировать, что найденные ими уязвимости будут исправлены? Сейчас большинство компаний платят вознаграждения за баги, но конфликт с Nightmare Eclipse показывает, что проблемы остаются.
0 комментариев