Microsoft грозит судом за публикацию уязвимостей

Microsoft оказалась в эпицентре очередного скандала, связанного с обработкой информации о так называемых "нулевых днях" — уязвимостях, которые ещё не известны производителю или защищающим организациям. В центре внимания — некий Nightmare Eclipse, сначала известный, возможно, как бывший сотрудник компании. Этот человек регулярно выкладывал в открытый доступ эксплойты — программы, позволяющие злоумышленникам воспользоваться брешью до её официального закрытия.

Nightmare Eclipse активно делился своими находками, включая рабочие примеры того, как использовать уязвимости в продуктах Microsoft. Официальная реакция корпорации не заставила себя ждать, но вместо диалога или благодарности за обнаружение серьёзных ошибок, Microsoft выбрала путь угроз. Компания намекнула на возможность возбуждения уголовного дела, так как считала, что Nightmare Eclipse нарушает правила раскрытия информации и не координирует свои действия с корпорацией надлежащим образом.

В ответ Microsoft заблокировала аккаунты энтузиаста на сервисах GitHub, GitLab и в собственной системе Security Response Center. По мнению известного исследователя в области кибербезопасности Кевина Бомонта (Kevin Beaumont), такие меры только подливают масла в огонь недовольства среди специалистов индустрии — ведь вместо того, чтобы работать с исследователями, компания выбирает жёсткую линию подавления и устрашения.