Halaman Utama
Berita
Butiran

Microsoft Menghadapi Tindakan Balas Terhadap Ancaman Hukum Kepada Penyelidik Keselamatan

icon币界网
Kongsi
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconRingkasan

expand icon
Microsoft menghadapi protes selepas mengancam tindakan undang-undang terhadap penyelidik keselamatan Nightmare Eclipse kerana mengungkap kelemahan yang belum diperbaiki dalam Windows Defender dan BitLocker. Penyelidik tersebut, yang mengungkap kelemahan seperti BlueHammer dan RedSun UnDefend, menuntut bahawa Microsoft mengendalikan laporannya dengan tidak betul dan mencabut aksesnya kepada Pusat Respons Keselamatan. Insiden ini menimbulkan kebimbangan mengenai pelaporan kerentanan terbuka dalam komuniti keselamatan. Sementara likuiditi dan pasaran kripto tetap peka terhadap tekanan peraturan, kes ini juga berkaitan dengan usaha CFT (Mengatasi Pembiayaan Terorisme) dalam mengurus eksposur risiko digital.
Laman web dunia kripto melaporkan:

Konflik terbuka antara Microsoft dan seorang penyelidik keselamatan sedang memicu perbincangan semula dalam industri keselamatan siber mengenai peraturan pengungkapan lubang keamanan. Titik perbezaan utama ialah penyelidik mengungkapkan beberapa lubang keamanan dan kod pemanfaatan sebelum Microsoft selesai memperbaikinya, sementara Microsoft mengkritik tindakan ini kerana berpotensi membantu penyerang, serta memperingatkan bahawa mereka akan mengejar tanggungjawab melalui saluran undang-undang dan penegakan hukum.

Microsoft mengecam pengungkapan terbuka

Microsoft mempublikasikan pos blog pada Rabu, mengkritik penyelidik dengan nama pengguna "Nightmare Eclipse" kerana mengumumkan secara terbuka beberapa kelemahan, termasuk BlueHammer, RedSun UnDefend, dan YellowKey. Masalah-masalah ini berkaitan dengan enjin antiviruses bawaan Windows Defender, serta alat penyulitan cakera BitLocker.

Microsoft menyatakan bahawa penyelidik tidak menghantar kelemahan tersebut melalui saluran rasmi terlebih dahulu untuk memberikan masa kepada syarikat bagi membaikinya. Microsoft berpendapat bahawa pengumuman terbuka sebelum kelemahan diperbaiki akan meningkatkan risiko serangan nyata. Microsoft juga menyatakan bahawa sebahagian daripada kelemahan tersebut kemudian telah digunakan oleh peringkat hacker untuk serangan sebenar, dan agensi keselamatan siber AS, CISA, juga telah menyebut mengenai perkara ini.

Microsoft menyebut pemindahan kriminal menyebabkan reaksi balik

Microsoft menulis dalam pos blognya bahawa jabatan kejahatan digitalnya akan terus membawa kes terhadap pelaku terkait dan pihak yang "membantu aktiviti jenayah mereka", serta berkoordinasi dengan agensi penegak undang-undang global apabila diperlukan. Ramai percaya bahawa pernyataan ini merupakan ancaman undang-undang terhadap penyelidik.

Nightmare Eclipse baru-baru ini menulis dalam blog bahawa beliau pernah berhubung dengan Microsoft, tetapi mengalami perlakuan yang tidak patut, termasuk Microsoft mencabut akses akaun Pusat Respons Keselamatan Microsoft. Akaun tersebut sebelum ini digunakan untuk menghantar laporan lubang kelemahan kepada Microsoft. Penyelidik mengimplikasikan bahawa beliau memilih untuk mengumumkan kelemahan secara terbuka selepas saluran komunikasi terhalang.

Maklumat terbuka menunjukkan bahawa maklumat lubang keamanan ini telah diterbitkan di GitHub dan GitLab, dan akaun terkait kemudian telah diblokir. GitHub kini dimiliki oleh Microsoft.

Komuniti keselamatan bimbang kesan perasaan takut

Kegoncangan ini dengan cepat menimbulkan ketidakpuasan dalam komuniti penyelidikan keselamatan. Inti perdebatan ini bukanlah sesuatu yang baru: selepas penyelidik bebas menemui kelemahan, adakah mereka perlu memastikan pengeluar telah menyelesaikan pembaikian; dan jika pengeluar menangani ia dengan tidak betul, sejauh manakah tanggungjawab penyelidik?

Program hadiah kelemahan dan mekanisme penglibatan terkoordinasi asalnya dibina untuk meredakan konflik semacam ini. Kini, kebanyakan syarikat teknologi besar memberi ganjaran kepada penyelidik yang melaporkan kelemahan secara rahsia, serta mengkoordinasikan pengumuman butiran selepas kelemahan diperbaiki.

Pendiri Luta Security, Katie Moussouris, yang sebelumnya mendorong mekanisme bounty vuln di Microsoft, mengatakan kepada TechCrunch bahawa penggunaan semula istilah seperti "pengungkapan bertanggungjawab" oleh Microsoft sendiri cenderung meletakkan tanggungjawab secara sepihak ke atas penyelidik; ditambah dengan penyebutan jabatan kesalahan digital, ia mungkin semakin melemahkan kepercayaan penyelidik terhadap Microsoft.

Dia memperingatkan bahawa jika penyelidik tidak lagi bersedia melaporkan kelemahan kepada Microsoft, akhirnya akan lebih banyak masalah keselamatan yang tetap berada di luar pandangan awam, sehingga meningkatkan risiko keseluruhan. Kevin Beaumont, bekas kakitangan Microsoft dan kini penyelidik keselamatan, juga secara terbuka mengkritik pendekatan Microsoft, menyatakan bahawa syarikat itu menghubungkan kod pemanfaatan kelemahan secara langsung dengan "aktiviti jenayah", yang merupakan krisis perhubungan awam dan kepercayaan yang disebabkan oleh pengurusan sendiri yang salah.

Sumber:Tunjukkan artikel asal
Penafian: Maklumat yang terdapat pada halaman ini mungkin telah diperoleh daripada pihak ketiga dan tidak semestinya menggambarkan pandangan atau pendapat KuCoin. Kandungan ini adalah disediakan bagi tujuan maklumat umum sahaja, tanpa sebarang perwakilan atau waranti dalam apa jua bentuk, dan juga tidak boleh ditafsirkan sebagai nasihat kewangan atau pelaburan. KuCoin tidak akan bertanggungjawab untuk sebarang kesilapan atau pengabaian, atau untuk sebarang akibat yang terhasil daripada penggunaan maklumat ini. Pelaburan dalam aset digital boleh membawa risiko. Sila menilai risiko produk dan toleransi risiko anda dengan teliti berdasarkan keadaan kewangan anda sendiri. Untuk maklumat lanjut, sila rujuk kepada Terma Penggunaan dan Pendedahan Risiko kami.