A Microsoft enfrenta críticas por lidar com explorações de dia zero. Alguém chamado Nightmare Eclipse brigou abertamente com a empresa, postando código de exploração de prova de conceito. Algumas de suas postagens sugerem que eles são ex-funcionários descontentes. Mas o que chamou a atenção dos pesquisadores de segurança cibernética Kevin Beaumont olhos são o que a Microsoft tem responder.
A Microsoft sugere seus planos para entregar um caso criminal contra Nightmare Eclipse por não seguir a “coordenação adequada” na divulgação de vulnerabilidades. Eles também desativaram o GitHub, o GitLab e o Microsoft Security Response Center do Nightmare Eclipse conta está desativada. Como diz Beaumont: “É muito difícil relatar vulnerabilidades de forma ‘responsável’ no futuro quando você foi bloqueado”.
O problema para Beaumont era que a Microsoft havia contratado pessoas que haviam feito exatamente as mesmas coisas. Eles empregaram pessoas que postam abertamente explorações de dia zero, algumas das quais têm antecedentes criminais de hackers. A Microsoft também comprou exploits de corretores.
Se a tática da Microsoft é tentar criminalizar o não cumprimento arbitrário da estrutura de “divulgação responsável”, boa sorte ao defender isso no tribunal – porque há muitas decisões prévias dentro da Microsoft e fatos que surgirão nesse processo.
