Microsoft bị chỉ trích dữ dội vì đe dọa điều tra hình sự nhà nghiên cứu bảo mật

Microsoft đang phải hứng chịu làn sóng chỉ trích từ cộng đồng an ninh mạng sau khi đe dọa sẽ điều tra hình sự một nhà nghiên cứu bảo mật độc lập. Vụ việc này đã thổi bùng lên một cuộc tranh luận lâu đời về trách nhiệm của các nhà nghiên cứu khi phát hiện ra lỗ hổng trong các sản phẩm của những gã khổng lồ công nghệ.

Mọi chuyện bắt đầu sau khi một nhà nghiên cứu dưới biệt danh "Nightmare Eclipse" công bố một loạt lỗi bảo mật chưa được vá (zero-day) cùng với mã khai thác chúng. Microsoft đã phản ứng bằng cách đăng tải bài viết trên blog, chỉ trích hành động này và ám chỉ khả năng sẽ báo cáo lên cơ quan thực thi pháp luật.

Microsoft cáo buộc hành vi "vô trách nhiệm"

Trong bài đăng vào thứ Tư vừa qua, Microsoft đã chỉ trích mạnh mẽ Nightmare Eclipse vì công khai các chi tiết kỹ thuật về các lỗ hổng như BlueHammer, RedSun UnDefend và YellowKey. Các lỗi này ảnh hưởng đến các sản phẩm cốt lõi của hãng bao gồm trình chống virus tích hợp Windows Defender và công cụ mã hóa đĩa BitLocker.

Theo Microsoft, vấn đề cốt lõi không nằm ở việc phát hiện lỗi, mà ở cách thức công bố. Họ cho rằng nhà nghiên cứu này đã không cố gắng báo cáo lỗi thông qua kênh chính thống để công ty có thể khắc phục trước khi công chúng biết đến. Microsoft lập luận rằng việc công bố mã khai thác (exploit code) trước khi vá lỗi có thể hỗ trợ cho các tin tặc thực hiện các cuộc tấn công thực tế. Cả Microsoft và Cơ quan An ninh mạng và An ninh hạ tầng Mỹ (CISA) đều xác nhận rằng một số lỗ hổng này đã bị lợi dụng trong các vụ tấn công mạng thực tế.

"Đơn vị Tội phạm Kỹ thuật số của chúng tôi sẽ tiếp tục đưa ra các vụ việc chống lại những tác nhân này và những người cho phép hoạt động tội phạm của họ — phối hợp với cơ quan thực thi pháp luật trên toàn cầu khi cần thiết," Microsoft khẳng định trong bài viết.

Phía nhà nghiên cứu nói gì?

Tuy nhiên, Nightmare Eclipse có một câu chuyện hoàn toàn khác. Trong một loạt bài đăng blog gần đây, nhà nghiên cứu này tuyên bố đã từng cố gắng liên hệ với Microsoft nhưng bị đối xử tệ, bao gồm việc bị thu hồi quyền truy cập vào tài khoản trên Trung tâm Phản hồi Bảo mật Microsoft (MSRC) — cổng thông tin dành cho việc báo cáo lỗ hổng.

Nightmare Eclipse ngụ ý rằng việc bị chặn truy cập đã buộc họ phải chọn giải pháp công khai các lỗ hổng như một phương án cuối cùng. Các mã khai thác ban đầu được đăng tải trên các kho lưu trữ mã nguồn mở như GitHub (do Microsoft sở hữu) và GitLab, tuy nhiên tài khoản của nhà nghiên cứu này sau đó đã bị các nền tảng này cấm.

Cảnh báo về hiệu ứng làm lạnh

Vụ việc công khai này đã làm sống lại cuộc tranh luận gay gắt: Liệu các nhà nghiên cứu độc lập có nghĩa vụ phải đảm bảo các lỗ hổng họ tìm thấy được khắc phục không? Và họ phải đi bao xa để buộc các công ty phải sửa lỗi?

Cộng đồng an ninh mạng hiện đang rất bất bình với cách xử lý của Microsoft. Katie Moussouris, một cựu nhân viên Microsoft và là người tiên phong trong lĩnh vực tiền thưởng tìm lỗi (bug bounty), đã gọi hành động của công ty là một bước đi quá đà.

"Việc lôi ra thuật ngữ 'tiết lộ có trách nhiệm' là một đòn đánh sai lầm. Thêm vào đó lời đe dọa truy tố hình sự bằng cách nhắc đến Đơn vị Tội phạm Kỹ thuật số là quá lố, và sẽ chỉ khiến các nhà nghiên cứu bảo mật mất lòng tin vào Microsoft," Moussouris nhận định.

Bà cảnh báo rằng việc mất lòng tin này có thể tạo ra "hiệu ứng làm lạnh", khiến các nhà nghiên cứu e ngại khi báo cáo lỗi, từ đó làm giảm mức độ an toàn chung cho tất cả người dùng. Kevin Beaumont, một chuyên gia bảo mật khác, cũng mô tả vị thế của Microsoft trong vụ việc này là một "đống lộn xộn tự tạo", và đặt câu hỏi về việc liệu việc tạo mã khai thác zero-day có thực sự được coi là hoạt động tội phạm hay không.