Microsoft đe dọa khởi kiện nhà nghiên cứu bảo mật vì công bố mã khai thác lỗ hổng

Microsoft đang gặp rắc rối lớn trong cách xử lý các lỗ hổng bảo mật zero-day. Gần đây, một người dùng tự xưng là Nightmare Eclipse đã đăng tải các đoạn mã chứng minh khái niệm (PoC) khai thác lỗ hổng lên mạng xã hội, khẳng định mình là một cựu nhân viên bất mãn của công ty.

Microsoft đang đối mặt với chỉ trích về cách xử lý lỗ hổng bảo mật

Đe dọa pháp lý và khóa tài khoản

Thay vì xử lý khéo léo, Microsoft đã phản ứng gay gắt. Theo nhà nghiên cứu bảo mật Kevin Beaumont, Microsoft cho biết họ có kế hoạch khởi kiện Nightmare Eclipse ra tòa án hình sự với lý do cá nhân này không tuân thủ "quy trình phối hợp phù hợp" trong việc tiết lộ lỗ hổng.

Hơn thế nữa, Microsoft đã vô hiệu hóa các tài khoản GitHub, GitLab và Trung tâm Phản hồi Bảo mật (MSRC) của Nightmare Eclipse. Beaumont đã chỉ ra sự phi lý trong hành động này:

"Rất khó để có thể 'báo cáo trách nhiệm' các lỗ hổng trong tương lai khi bạn đã bị cấm hoàn toàn khỏi các nền tảng cần thiết để làm việc đó."

Sự mâu thuẫn trong chính sách tuyển dụng

Điều khiến cộng đồng bảo mật lo ngại nhất là sự thiếu nhất quán trong cách hành xử của "gã khổng lồ" phần mềm. Beaumont nhấn mạnh rằng Microsoft trong quá khứ đã từng tuyển dụng những người từng công khai đăng tải mã khai thác zero-day, thậm chí là những người có tiền án về tội phạm mạng. Công ty cũng từng mua lại mã khai thác từ các môi giới.

Beaumont nhận định mạnh mẽ về tình huống này:

"Nếu chiến thuật của Microsoft là cố gắng hình sự hóa việc không tuân theo các khuôn khổ 'tiết lộ trách nhiệm' thường mang tính tùy ý, chúc họ may mắn khi bảo vệ điều đó trước tòa — bởi vì sẽ có cả một chuỗi các quyết định sai lầm trong quá khứ của Microsoft và các sự thật sẽ được phơi bày trong quá trình đó."

Việc Microsoft vừa mua lại mã khai thác, vừa tuyển dụng các hacker cũ, nhưng lại quay lại đe dọa pháp lý với một cá nhân khác, đang đặt ra câu hỏi lớn về tính công bằng và minh bạch trong các chính sách bảo mật của công ty.