مایکروسافت بر سر نحوه برخورد با افشای «آسیبپذیریهای روز صفر» (حفرههای امنیتی ناشناخته) زیر تیغ انتقادات قرار گرفته است. ماجرا از این قرار است که شخصی با نام مستعار «Nightmare Eclipse» وارد یک درگیری علنی با این شرکت شده و کدهایی را منتشر کرده است که نقصهای امنیتی سیستمهای مایکروسافت را اثبات میکند.
بررسی پیامهای این فرد نشان میدهد که او به احتمال زیاد یکی از کارمندان سابق و ناراضی مایکروسافت است. اما در این میان، چیزی که توجه کارشناسان از جمله «کوین بومونت» (پژوهشگر نامآشنای امنیت سایبری) را جلب کرده، واکنش متناقض مایکروسافت به این اتفاق است.
اقدام قانونی مایکروسافت و مسدودسازی حسابها
مایکروسافت اعلام کرده است که چون این فرد حفرههای امنیتی را از مسیرهای رسمی و با «هماهنگیهای مناسب» گزارش نکرده، قصد دارد از او شکایت کیفری کند. در همین راستا، تمامی حسابهای کاربری او در سرویسهای گیتهاب، گیتلب (GitLab) و «مرکز پاسخگویی امنیتی مایکروسافت» مسدود شده است. بومونت در انتقاد به این رفتار میگوید:
«وقتی تمام دسترسیهای یک نفر را قطع میکنید، چگونه انتظار دارید که آسیبپذیریهای بعدی را به شکلی مسئولانه به شما گزارش دهد؟»
موضوعی که بومونت را نگران میکند این است که مایکروسافت در گذشته افرادی را استخدام کرده که دقیقاً همین کارها را انجام دادهاند. آنها افرادی را به کار گرفتهاند که آسیبپذیریهای روز صفر را بهطور عمومی منتشر کرده بودند و حتی برخی از آنها سابقه محکومیتهای کیفری در زمینه هک داشتهاند. مایکروسافت همچنین سابقه خریداری اکسپلویت از دلالان این حوزه را در کارنامه خود دارد.
بومونت این تناقض رفتاری را چنین خلاصه میکند:
«اگر برنامه مایکروسافت این است که عدم پیروی از چارچوبهای غالباً سلیقهای، افشای مسئولانه را به یک جرم تبدیل کند، برای دفاع از این موضع در دادگاه برایشان آرزوی موفقیت میکنم؛ چرا که سابقه خود این شرکت پر از تصمیمات متناقض است و حقایق زیادی وجود دارد که در روند دادگاه علیه خودشان آشکار خواهد شد.»