Microsoft因威胁安全研究员进行刑事调查而受到批评

在一名安全研究人员发布了Microsoft产品中一系列未修补的错误以及利用这些错误的代码后，该公司现在威胁要采取法律行动并报警。 Microsoft的隐秘威胁重新引发了一场长期争论，即安全研究人员必须承担哪些责任（如果有的话）来披露影响大型和富裕科技巨头的漏洞。

周三，微软发表了一篇博客文章，批评这位化名为“Nightmare Eclipse”的研究人员公开披露了一系列错误，包括BlueHammer、RedSun、UnDefend和YellowKey。这些缺陷影响了Windows内置防病毒引擎Defender和磁盘加密工具BitLocker等产品。

Microsoft抱怨的核心是研究人员没有尝试报告这些错误以便公司能够修复它们。正如Microsoft的博客所说，这将是“负责任的”。该公司观点的另一面是，通过在修补之前发布错误的详细信息以及如何利用它们，Nightmare Eclipse可能为恶意黑客提供了帮助。据Microsoft以及美国网络安全机构CISA称，Nightmare Eclipse披露的一些漏洞已被黑客用于现实世界的攻击。

“我们的数字犯罪部门将继续对这些行为者以及那些促成其犯罪活动的人提起诉讼，并据需要与世界各地的执法部门进行协调，”Microsoft写道。 （Microsoft的数字犯罪部门的使命是通过不同的策略来保护公司，包括“民事法律诉讼、技术对策、刑事移交和公私合作伙伴关系”，据其网站）。

在过去几周发布的一系列博客中，Nightmare Eclipse声称已与Microsoft联系，但未提供太多具体细节，但据称该公司虐待他们，包括撤销对他们的Microsoft安全响应中心帐户的访问权限，该帐户是研究人员可以向这家科技巨头报告漏洞的门户。 Nightmare Eclipse的含义是，他们别无选择，只能公开发布这些漏洞，这本质上意味着它们在那时是零日漏洞，这是一个特定术语，指的是在披露或利用这些漏洞时受影响的软件制造商不知道的安全漏洞。

研究人员在开源存储库GitHub（由Microsoft所有）和GitLab上发布了这些错误。研究人员在这些平台上的账户已被禁止。

Nightmare Eclipse和Microsoft没有回复评论请求。

网络安全资深人士警告寒蝉效应

这场公开争论引发了一场长期存在且仍有争议的争论：独立安全研究人员是否有责任确保他们发现的漏洞得到修复？他们应该采取什么措施来确保产品存在漏洞的公司能够真正修复这些问题？

这场争论已经得到充分解决并得到广泛认可，其中一个问题是研究人员应该为他们的工作获得报酬。虽然这在今天听起来似乎是显而易见的事情，但它需要多年的努力，部分是在2009年发起的一项名为“不再有免费错误”的活动中体现出来的。近20年后，大多数大大小小的公司都会向私下披露错误并在错误修复后协调发布其详细信息的研究人员支付“错误赏金”经济奖励，如今这些奖励可高达六位数或更多。

为了回应Nightmare Eclipse的最新争议，无数研究人员分享了他们向Microsoft报告错误的糟糕经历。股权地说，网络安全社区的许多人都对Microsoft处理这个问题的方式表示不满。其中包括网络安全资深人士，例如Luta Security创始人Katie Moussouris，她在2000年代中后期在Microsoft工作时率先提出了漏洞赏金，并说服这家科技巨头放弃“负责任的披露”的概念，将这一过程定义为“协调披露”。

“援引‘负责任的’披露一词是我书中的第一次打击，”穆苏里斯告诉TechCrunch，指的是Microsoft的博客文章。 “通过提及[数字犯罪部门]来增加起诉的威胁太过分了，只会导致安全研究人员不信任Microsoft。”

Moussouris警告说，安全研究人员对Microsoft失去信任的后果可能会导致更少的人主动报告错误，从而产生寒蝉效应，“这对我们所有人来说都不太安全。”

安全研究员兼前Microsoft员工Kevin Beaumont也在一篇博文中呼吁Microsoft，称该公司的立场是“自己制造的垃圾箱火灾”。

“零日漏洞利用的概念证明创建和分发现在是‘犯罪活动’吗？”博蒙特写道。 “负责任的披露通常是为了保护产品所有者，而不是客户——用它来试图对人们进行刑事起诉是一个新的低点。”