A Microsoft ameaçou processar criminalmente um pesquisador independente que publicou um código de exploração de vulnerabilidades do Windows depois que a empresa ignorou seus alertas sobre as falhas que ele havia encontrado. O pesquisador alegou que a gigante da tecnologia bloqueou seu acesso ao portal de denúncias, forçando-o a divulgar as falhas publicamente.
Fonte da imagem: xAI
A controvérsia surgiu em torno de um usuário apelidado de ChaoticEclipse (ou Nightmare Eclipse), que descobriu falhas críticas no antivírus Microsoft Defender e na ferramenta de criptografia BitLocker. Ele alegou ter tentado enviar dados através do Centro de Resposta de Segurança da Microsoft, mas foi tratado com grosseria e teve sua conta desativada. Impedido de aprovar correções e, presumivelmente, receber a recompensa a que tinha direito pelas vulnerabilidades encontradas, o pesquisador publicou o código de exploração em repositórios públicos do GitHub, transformando-os em ameaças de dia zero.
Em resposta à publicação, a Microsoft emitiu um comunicado acusando o pesquisador de não “divulgar informações de forma responsável” e de, na prática, auxiliar cibercriminosos. Representantes da Microsoft enfatizaram que, de acordo com suas informações e as da agência de segurança cibernética CISA, algumas das falhas divulgadas por Nightmare Eclipse já estão sendo exploradas por hackers em ataques reais e ameaçaram envolver agências de aplicação da lei globais. Entretanto, as contas do Nightmare Eclipse no GitHub e no GitLab foram prontamente bloqueadas, e as partes envolvidas ainda não responderam aos pedidos de comentários da imprensa.
O TechCrunch observa que as ações da Microsoft provocaram indignação na comunidade profissional, relembrando a longa luta dos pesquisadores para garantir uma compensação justa por bugs encontrados por meio de programas de recompensa por bugs.Katie Moussouris, fundadora da Luta Security e ex-funcionária da Microsoft, classificou as ameaças de ações judiciais como um exagero que só irá minar a confiança na empresa e diminuir o nível geral de segurança.cibersegurança. Outro ex-funcionário, Kevin Beaumont, a apoiou, descrevendo a posição da gerência como “um fracasso autoinfligido”. Segundo Beaumont, as tentativas de processar especialistas por criarem exploits de prova de conceito representam “um novo nível de baixeza”.