Компания Microsoft оказалась в центре крупного скандала из-за жесткой реакции на обнародование уязвимостей нулевого дня. Поводом для конфликта послужили действия независимого разработчика под псевдонимом Nightmare Eclipse, который начал публиковать в открытом доступе концепты эксплойтов — рабочие примеры кода, демонстрирующие бреши в защите. В профильном сообществе предполагают, что за этим никнеймом может скрываться бывший недовольный сотрудник корпорации.
Блокировка аккаунтов и угрозы уголовным делом
Вместо оперативного устранения технических проблем Microsoft выбрала путь юридического давления. Корпорация пригрозила разработчику уголовным преследованием, обвинив его в нарушении правил координированного раскрытия информации. Кроме того, компания заблокировала учетные записи Nightmare Eclipse на платформах GitHub, GitLab и в собственном центре безопасности Microsoft Security Response Center.
Известный эксперт по кибербезопасности Кевин Бомонт обратил внимание на нелогичность таких действий. По его словам, после полной блокировки аккаунтов исследователь физически не сможет отправлять отчеты об уязвимостях по официальным каналам, даже если решит действовать по установленным правилам.
Двойные стандарты в политике безопасности
В экспертном сообществе указывают на непоследовательность политики Microsoft. Защитить позицию корпорации в суде будет крайне сложно из-за множества противоречивых решений, принятых руководством компании ранее.
Аналитики выделяют несколько ключевых противоречий в действиях ИТ-гиганта:
- Microsoft регулярно нанимает на работу специалистов, которые в прошлом публично выкладывали уязвимости нулевого дня или даже имели судимости за хакерскую деятельность.
- Корпорация пользуется услугами серых брокеров и выкупает эксплойты на сторонних площадках.
- Попытка криминализовать несоблюдение внутренних регламентов компании выглядит сомнительно с юридической точки зрения, так как эти правила не имеют статуса законов.
Специалисты резюмируют: агрессивная тактика Microsoft может обернуться против самой компании. В случае судебного разбирательства защите будет легко доказать избирательность и непоследовательность внутренней политики ИТ-гиганта в сфере информационной безопасности.
