ความขัดแย้งระหว่างไมโครซอฟต์กับนักวิจัยด้านความปลอดภัยกำลังกระตุ้นให้อุตสาหกรรมความปลอดภัยทางไซเบอร์ทบทวนกฎเกณฑ์การเปิดเผยช่องโหว่ จุดขัดแย้งอยู่ที่การที่นักวิจัยเปิดเผยช่องโหว่หลายรายการและรหัสการโจมตีก่อนที่ไมโครซอฟต์จะเสร็จสิ้นการแก้ไข ขณะที่ไมโครซอฟต์วิพากษ์วิจารณ์ว่าการกระทำดังกล่าวอาจช่วยให้ผู้โจมตี และเตือนว่าจะดำเนินการผ่านช่องทางกฎหมายและหน่วยงานบังคับใช้กฎหมาย
Microsoft วิพากษ์วิจารณ์การเปิดเผยอย่างเปิดเผย
ไมโครซอฟต์เผยแพร่โพสต์เมื่อวันพุธที่วิพากษ์วิจารณ์นักวิจัยที่มีชื่อผู้ใช้ว่า “Nightmare Eclipse” ที่เปิดเผยช่องโหว่หลายรายการ รวมถึง BlueHammer, RedSun UnDefend และ YellowKey ปัญหาเหล่านี้เกี่ยวข้องกับเครื่องมือป้องกันไวรัสที่ติดตั้งมาในตัวของ Windows คือ Defender และเครื่องมือเข้ารหัสดิสก์อย่าง BitLocker
ไมโครซอฟท์ระบุว่า นักวิจัยไม่ได้ส่งรายงานช่องโหว่ผ่านช่องทางปกติเพื่อให้บริษัทมีเวลาแก้ไข ไมโครซอฟท์เชื่อว่า การเปิดเผยช่องโหว่ก่อนที่จะมีการแก้ไขจะเพิ่มความเสี่ยงจากการโจมตีจริง ไมโครซอฟท์ยังระบุว่า ช่องโหว่บางส่วนต่อมาถูกแฮกเกอร์ใช้ในการโจมตีจริง และหน่วยงานด้านความปลอดภัยไซเบอร์ของสหรัฐฯ CISA ก็ได้กล่าวถึงสถานการณ์ดังกล่าว
Microsoft กล่าวถึงการส่งต่อทางอาญาที่ก่อให้เกิดการต่อต้าน
ไมโครซอฟท์เขียนในโพสต์ว่า หน่วยงานอาชญากรรมดิจิทัลของพวกเขาจะดำเนินคดีต่อผู้กระทำผิดที่เกี่ยวข้องและบุคคลที่ “ช่วยเหลือกิจกรรมทางอาชญากรรม” ของพวกเขา และจะประสานงานกับหน่วยงานบังคับใช้กฎหมายทั่วโลกเมื่อจำเป็น ซึ่งโดยทั่วไปแล้วถูกตีความว่าเป็นการขู่เข็ญทางกฎหมายต่อนักวิจัย
Nightmare Eclipse ได้ระบุในบล็อกว่า ตนเคยติดต่อไมโครซอฟท์ แต่ได้รับการปฏิบัติอย่างไม่เหมาะสม รวมถึงไมโครซอฟท์ได้เพิกถอนสิทธิ์บัญชีศูนย์ตอบสนองความปลอดภัยของไมโครซอฟท์ ซึ่งบัญชีนี้ใช้สำหรับส่งรายงานช่องโหว่ไปยังไมโครซอฟท์ นักวิจัยระบุว่า หลังจากช่องทางการสื่อสารถูกขัดขวาง จึงตัดสินใจเปิดเผยช่องโหว่อย่างเปิดเผย
ข้อมูลสาธารณะแสดงว่าข้อมูลช่องโหว่เหล่านี้ถูกเผยแพร่บน GitHub และ GitLab บัญชีที่เกี่ยวข้องถูกปิดการใช้งานต่อมา GitHub ปัจจุบันเป็นของ Microsoft
ชุมชนด้านความปลอดภัยกังวลเกี่ยวกับผลกระทบทางการละเลย
เหตุการณ์นี้ได้กระตุ้นความไม่พอใจอย่างรวดเร็วจากชุมชนนักวิจัยด้านความปลอดภัย ประเด็นที่ถกเถียงไม่ใช่สิ่งใหม่: เมื่อนักวิจัยอิสระค้นพบช่องโหว่ พวกเขาควรรับผิดชอบให้มั่นใจว่าผู้ผลิตได้แก้ไขปัญหาแล้วหรือไม่ และหากผู้ผลิตจัดการไม่เหมาะสม นักวิจัยควรรับผิดชอบมากเพียงใด
ระบบรางวัลสำหรับการรายงานช่องโหว่และการเปิดเผยอย่างมีการประสานงานถูกสร้างขึ้นเพื่อคลี่คลายความขัดแย้งประเภทนี้ โดยปัจจุบันบริษัทเทคโนโลยีขนาดใหญ่ส่วนใหญ่จะจ่ายรางวัลให้กับนักวิจัยที่รายงานช่องโหว่แบบลับ และประสานงานการเปิดเผยรายละเอียดหลังจากช่องโหว่ได้รับการแก้ไข
คาตี มูสซูริส ผู้ก่อตั้ง Luta Security ซึ่งเคยผลักดันกลไกรางวัลสำหรับการรายงานช่องโหว่ที่ไมโครซอฟต์ กล่าวกับ TechCrunch ว่า การที่ไมโครซอฟต์ใช้คำว่า “การเปิดเผยอย่างรับผิดชอบ” อีกครั้ง 本身就ทำให้ความรับผิดชอบถูกผลักให้อยู่กับนักวิจัยเพียงฝ่ายเดียว; การกล่าวถึงหน่วยงานต่อต้านอาชญากรรมดิจิทัลยังอาจลดความเชื่อมั่นของนักวิจัยต่อไมโครซอฟต์เพิ่มขึ้นอีก
เธอเตือนว่า หากนักวิจัยไม่ยินดีรายงานช่องโหว่ให้กับไมโครซอฟต์อีกต่อไป ปัญหาด้านความปลอดภัยจำนวนมากจะยังคงอยู่นอกสายตาของสาธารณะ ทำให้ความเสี่ยงโดยรวมเพิ่มขึ้น คีเวิน บีมอนต์ อดีตพนักงานไมโครซอฟต์และนักวิจัยด้านความปลอดภัยในปัจจุบัน ยังวิพากษ์วิจารณ์วิธีการจัดการของไมโครซอฟต์อย่างเปิดเผย โดยระบุว่า การเชื่อมโยงรหัสการใช้ช่องโหว่กับ “กิจกรรมผิดกฎหมาย” ของบริษัท เป็นวิกฤตด้านภาพลักษณ์และความเชื่อมั่นที่เกิดจากความผิดพลาดในการจัดการของตนเอง