©Unsplash

©Unsplash

Microsoft ligt onder vuur: ‘Het heeft een security-expert bedreigd’

Praat mee!
Redacteur

Microsoft heeft mogelijk een security-expert gedreigd de politie te bellen, nadat hij verschillende bugs aan de grote klok hing die nog altijd geen patch hebben ontvangen. Het probleem zit hem vooral in het feit dat de expert ook de code deelde om de zwaktes te misbruiken.

Het is een interessante kwestie, want er komt een groot ethisch vraagstuk bij kijken: in hoeverre is het de verantwoordelijkheid van beveiligingsexperts om big tech te informeren over de zwaktes die in hun software zitten? Veel securitymensen doen dat wel en geven een bedrijf een bepaalde tijdsperiode voordat ze het bekendmaken. Deze onderzoeker, Nightmare Eclipse genoemd, wordt door Microsoft openlijk bekritiseerd in een blog, via TechCrunch.

Zero-day kwetsbaarheden

Microsoft schrijft: “In de afgelopen weken zijn verschillende zero-day kwetsbaarheden publiekelijk bekendgemaakt. De details van deze kwetsbaarheden waren vooraf niet met Microsoft gedeeld, en deze onthullingen hebben onze klanten aan onnodige risico's blootgesteld. (...) De kwetsbaarheden die bekendstaan als RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma en MiniPlasma zijn niet op een verantwoorde manier bekendgemaakt. Als reactie op het onnodige risico dat door deze onthullingen is ontstaan, hebben onze beveiligingsteams de klok rond gewerkt om de impact te begrijpen, onze klanten te beschermen en beveiligingsupdates te ontwikkelen.”

Microsoft heeft via zijn Coordinated Vulnerability Disclosure-programma met honderden beveiligingsonderzoekers contact, waarbij bevindingen worden gedeeld. Dat deze Nightmare Eclipse dat niet heeft gedaan, is duidelijk in het verkeerde keelgat geschoten. “We blijven fel gekant tegen dit soort acties, en tegen elke bekendmaking buiten de juiste afstemming om die schade kan toebrengen aan onze klanten en het digitale ecosysteem.”

Het geeft aan dat de Digital Crimes Unit rechtszaken blijft aanspannen tegen dit soort mensen. Ook schakelt het wetshandhaving in tegen deze personen. Toch is het de vraag in hoeverre Microsoft daar ook daadwerkelijk verder mee komt: het is niet bij wet verplicht dat zwakheden in software worden gemeld. 

Nightmare Eclipse

Overigens stelt Nightmare Eclipse dat hij wel degelijk contact heeft gehad met Microsoft en dat het bedrijf zijn Microsoft Security Response Center-account heeft gesloten. Dat is het platform waar je de zwaktes kunt rapporteren. Kortom, menig security-expert heeft zich hierdoor juist tegen Microsoft gekeerd. Sowieso zijn er veel klachten over het rapporteren van bugs aan Microsoft, dus dit verhaal heeft er alleen maar voor gezorgd dat securitymensen hun beklag doen.