Microsoft haalt uit naar onderzoekers die 'verkeerd' kwetsbaarheden melden

In dit artikel:

Microsoft bekritiseert recent openbaar gemaakte, kritieke Windows-kwetsbaarheden omdat ze volgens het bedrijf niet volgens het principe van responsible disclosure zijn gemeld. Het bedrijf noemt meerdere kwetsbaarheden bij naam (onder meer RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma en MiniPlasma) en stelt dat ongevraagde, ongecoördineerde openbaarmaking klanten en het bredere digitale ecosysteem in gevaar brengt.

Drie van die kwetsbaarheden zouden zijn gepubliceerd door een anonieme onderzoeker die zichzelf Nightmare‑Eclipse noemt; die persoon is recentelijk geblokkeerd op platforms als GitHub en GitLab en publiceerde proof‑of‑concepttools zonder voorafgaand contact met Microsoft. Microsoft waarschuwt dat zulke onthullingen kwaadwillenden de kans geven om tekortkomingen te misbruiken en kondigt aan juridische stappen niet uit te sluiten, via de Digital Crimes Unit.

De zaak legt spanningen bloot tussen externe beveiligingsonderzoekers en het Microsoft Security Response Center (MSRC), dat bedoeld is om kwetsbaarheden samen met onderzoekers te vinden en te verhelpen — vaak met vergoedingen. Kritiek op deze samenwerkingsmechanismen gaat heen en weer, bijvoorbeeld over erkenning, beloning en doorlooptijden voor patches. De discussie draait om balans tussen snelle transparantie en het beschermen van gebruikers totdat fixes beschikbaar zijn.