A Microsoft enfrentou críticas recentemente por lidar com vulnerabilidades de dia zero. Um pesquisador de segurança que se autodenomina “Nightmare Eclipse” divulgou publicamente vários códigos de prova de conceito para explorar vulnerabilidades e teve um conflito público com a Microsoft. Alguns de seus comentários sugeriram que ele poderia ser um ex-funcionário da Microsoft.

O que o pesquisador de segurança cibernética Kevin Beaumont percebeu não foram apenas as vulnerabilidades em si, mas como a Microsoft respondeu. A Microsoft disse em seu comunicado oficial que planeja considerar um processo criminal contra Nightmare Eclipse, alegando que o pesquisador não divulgou a vulnerabilidade de acordo com “procedimentos de coordenação apropriados” e baniu sucessivamente suas contas relacionadas no GitHub, GitLab e no Microsoft Security Response Center.

Beaumont destacou que depois que a conta do cliente for completamente banida, será quase impossível enviar futuras vulnerabilidades de segurança através dos chamados canais de “divulgação responsável” da Microsoft. Ele também enfatizou que o que é ainda mais irônico é que a Microsoft há muito emprega algumas pessoas que publicaram publicamente códigos de exploração de dia zero, incluindo pessoas com antecedentes criminais. Ao mesmo tempo, a empresa também compra programas de exploração de corretores de vulnerabilidades.

Na opinião de Beaumont, a tentativa atual da Microsoft de criminalizar “o não cumprimento da estrutura muitas vezes bastante arbitrária de ‘divulgação responsável’” é insustentável. Ele alertou que, uma vez que tal caso seja levado a tribunal, as contratações anteriores da Microsoft, a estratégia de segurança e as decisões de negociação de vulnerabilidades serão todas colocadas sobre a mesa, formando um “carro palhaço cheio de fatos inconsistentes”, tornando difícil para ela se justificar sob revisão judicial.

A julgar por todo o incidente, a Microsoft não apenas confiou na comunidade de pesquisa de segurança, mas também comprou e contratou especialistas em segurança que exploraram comportamentos semelhantes. Por outro lado, respondeu a indivíduos divulgados publicamente com acusações criminais extremamente duras e até chocantes. Controvérsias relevantes estão fermentando no círculo de segurança e também reacenderam discussões sobre o que constitui “divulgação responsável” e os limites de poder das grandes empresas de tecnologia no jogo de divulgação de vulnerabilidades.