माइक्रोसॉफ्ट और एक सुरक्षा शोधकर्ता के बीच खुला विवाद, सुरक्षा विवरण नियमों पर साइबर सुरक्षा उद्योग के बीच पुनः चर्चा का कारण बन रहा है। विवाद की केंद्रीय बात यह है कि शोधकर्ता ने माइक्रोसॉफ्ट के ठीक करने से पहले कई दोषों और उनके दुरुपयोग कोड को सार्वजनिक कर दिया, जबकि माइक्रोसॉफ्ट ने इस दृष्टिकोण को आक्रमणकारियों की मदद कर सकता है, और कानूनी और कानून प्रवर्तन चैनलों के माध्यम से जवाबदेही की चेतावनी दी है।
Microsoft criticizes public disclosure
माइक्रोसॉफ्ट ने बुधवार को एक पोस्ट प्रकाशित करके "Nightmare Eclipse" नामक शोधकर्ता की आलोचना की, जिन्होंने BlueHammer, RedSun UnDefend और YellowKey सहित कई दुर्बलताओं का खुलासा किया। ये समस्याएँ Windows के अंतर्निहित एंटीवायरस इंजन Defender और डिस्क एन्क्रिप्शन टूल BitLocker जैसे उत्पादों से संबंधित हैं।
माइक्रोसॉफ्ट ने कहा कि शोधकर्ताओं ने विभेद को सामान्य चैनल के माध्यम से पहले नहीं भेजा, जिससे कंपनी को उसे ठीक करने का समय मिल सके। माइक्रोसॉफ्ट का मानना है कि ऐसे अनुधारित विभेदों का सार्वजनिक प्रकाशन वास्तविक हमलों के जोखिम को बढ़ाता है। माइक्रोसॉफ्ट ने यह भी कहा कि कुछ विभेदों का बाद में हैकर्स द्वारा वास्तविक हमलों में उपयोग किया गया, और अमेरिकी साइबर सुरक्षा एजेंसी CISA ने भी संबंधित स्थिति का उल्लेख किया है।
Microsoft ने क्रिमिनल रेफरल के कारण प्रतिक्रिया का उल्लेख किया
माइक्रोसॉफ्ट ने अपने ब्लॉग पोस्ट में लिखा कि उसका डिजिटल अपराध विभाग संबंधित व्यक्तियों और "उनकी अपराधी गतिविधियों में सहायता करने वालों" के खिलाफ मुकदमे जारी रखेगा और आवश्यकता पड़ने पर वैश्विक कानून प्रवर्तन एजेंसियों के साथ समन्वय करेगा। बाहरी विश्लेषक मानते हैं कि यह बयान शोधकर्ताओं के प्रति कानूनी धमकी दे रहा है।
नाइटमेयर एक्लिप्स ने पिछले कुछ सप्ताहों में अपने ब्लॉग में कहा कि उन्होंने माइक्रोसॉफ्ट के संपर्क में आने का प्रयास किया था, लेकिन उनका अनुचित व्यवहार किया गया, जिसमें माइक्रोसॉफ्ट द्वारा उनके माइक्रोसॉफ्ट सिक्योरिटी रिस्पॉन्स सेंटर अकाउंट के अधिकार हटा दिए गए। यह अकाउंट मूल रूप से माइक्रोसॉफ्ट को वल्नरेबिलिटी रिपोर्ट्स सबमिट करने के लिए उपयोग किया जाता था। शोधकर्ता ने संकेत दिया कि संचार चैनल बंद होने के बाद ही उन्होंने वल्नरेबिलिटी को सार्वजनिक रूप से प्रकाशित करने का फैसला किया।
जानकारी के अनुसार, इन दुर्भेदों की जानकारी GitHub और GitLab पर प्रकाशित की गई थी, और बाद में संबंधित खातों को बंद कर दिया गया। GitHub वर्तमान में माइक्रोसॉफ्ट के स्वामित्व में है।
सुरक्षा वृत्त में शीतलन प्रभाव की चिंता है
इस तूफान ने तुरंत सुरक्षा अनुसंधान समुदाय में असंतोष पैदा कर दिया। विवाद का केंद्र कुछ नया नहीं है: स्वतंत्र अनुसंधानकर्ता द्वारा दरार की खोज के बाद, क्या उन्हें यह सुनिश्चित करना चाहिए कि निर्माता द्वारा ठीक किया जाए; और यदि निर्माता इसे गलत तरीके से संभालता है, तो अनुसंधानकर्ता को कितनी जिम्मेदारी लेनी चाहिए।
बग बोनस और समन्वयित उजागर तंत्र मूल रूप से इस तरह के विरोधाभासों को कम करने के लिए बनाए गए थे। आज, अधिकांश बड़ी तकनीकी कंपनियाँ गुप्त रूप से बग की रिपोर्ट करने वाले शोधकर्ताओं को पुरस्कार देती हैं और बग के ठीक होने के बाद उजागर के विवरण को समन्वयित करती हैं।
माइक्रोसॉफ्ट में दोष बोनस प्रणाली को आगे बढ़ाने वाली Luta Security की संस्थापक केटी मूसूरिस ने TechCrunch को बताया कि माइक्रोसॉफ्ट द्वारा “जिम्मेदार खुलासा” जैसे शब्दों का फिर से उपयोग करना स्वयं ही जिम्मेदारी को केवल शोधकर्ताओं पर ही थोपने की संभावना बढ़ाता है; डिजिटल अपराध विभाग का उल्लेख करने से शोधकर्ताओं का माइक्रोसॉफ्ट पर विश्वास और कमजोर हो सकता है।
उसने चेतावनी दी कि यदि शोधकर्ता माइक्रोसॉफ्ट को वल्नरेबिलिटी की रिपोर्ट करने के लिए तैयार नहीं रहे, तो अंततः अधिक सुरक्षा समस्याएँ सार्वजनिक दृष्टि से बाहर रह जाएँगी, जिससे कुल जोखिम बढ़ जाएगा। पूर्व माइक्रोसॉफ्ट कर्मचारी और वर्तमान सुरक्षा शोधकर्ता केविन बोमोंट ने भी माइक्रोसॉफ्ट के उपचार की आलोचना की है, जिसमें उन्होंने कहा कि कंपनी वल्नरेबिलिटी के दुरुपयोग कोड को "अपराधी गतिविधियों" से सीधे जोड़ रही है, जो अपनी ही खराब प्रबंधन के कारण एक प्रचार और विश्वास का संकट है।