شکایت مایکروسافت از یک افشاگر نقایص امنیتی با انتقاد تند کارشناسان همراه شد

مایکروسافت بر سر نحوه برخورد با افشای «آسیب‌پذیری‌های روز صفر» (حفره‌های امنیتی ناشناخته) زیر تیغ انتقادات قرار گرفته است. ماجرا از این قرار است که شخصی با نام مستعار «Nightmare Eclipse» وارد یک درگیری علنی با این شرکت شده و کدهایی را منتشر کرده است که نقص‌های امنیتی سیستم‌های مایکروسافت را اثبات می‌کند.

بررسی پیام‌های این فرد نشان می‌دهد که او به احتمال زیاد یکی از کارمندان سابق و ناراضی مایکروسافت است. اما در این میان، چیزی که توجه کارشناسان از جمله «کوین بومونت» (پژوهشگر نام‌آشنای امنیت سایبری) را جلب کرده، واکنش متناقض مایکروسافت به این اتفاق است.

اقدام قانونی مایکروسافت و مسدودسازی حساب‌ها

مایکروسافت اعلام کرده است که چون این فرد حفره‌های امنیتی را از مسیرهای رسمی و با «هماهنگی‌های مناسب» گزارش نکرده، قصد دارد از او شکایت کیفری کند. در همین راستا، تمامی حساب‌های کاربری او در سرویس‌های گیت‌هاب، گیت‌لب (GitLab) و «مرکز پاسخ‌گویی امنیتی مایکروسافت» مسدود شده است. بومونت در انتقاد به این رفتار می‌گوید:

«وقتی تمام دسترسی‌های یک نفر را قطع می‌کنید، چگونه انتظار دارید که آسیب‌پذیری‌های بعدی را به شکلی مسئولانه به شما گزارش دهد؟»

موضوعی که بومونت را نگران می‌کند این است که مایکروسافت در گذشته افرادی را استخدام کرده که دقیقاً همین کارها را انجام داده‌اند. آنها افرادی را به کار گرفته‌اند که آسیب‌پذیری‌های روز صفر را به‌طور عمومی منتشر کرده بودند و حتی برخی از آنها سابقه محکومیت‌های کیفری در زمینه هک داشته‌اند. مایکروسافت همچنین سابقه خریداری اکسپلویت از دلالان این حوزه را در کارنامه خود دارد.

بومونت این تناقض رفتاری را چنین خلاصه می‌کند:

«اگر برنامه مایکروسافت این است که عدم پیروی از چارچوب‌های غالباً سلیقه‌ای، افشای مسئولانه را به یک جرم تبدیل کند، برای دفاع از این موضع در دادگاه برایشان آرزوی موفقیت می‌کنم؛ چرا که سابقه خود این شرکت پر از تصمیمات متناقض است و حقایق زیادی وجود دارد که در روند دادگاه علیه خودشان آشکار خواهد شد.»