Microsoft matigt juridisch dreigement tegen onderzoeker achter YellowKey-gat

In dit artikel:

Microsoft zegt geen rechtszaken te beginnen tegen beveiligingsonderzoekers die gewoon hun werk doen en hun bevindingen publiceren, maar houdt vast dat het zal samenwerken met politie en Justitie wanneer iemand de wet overtreedt of kwaadwillig handelt om klanten te schaden. Die nuancering plaatste het Microsoft Security Response Center in een bericht op X, naar aanleiding van kritiek op een eerdere blogpost waarin Microsoft dreigde juridische stappen te nemen tegen onderzoekers die kwetsbaarheden ‘onjuist’ melden.

De discussie ontstond na de publieke onthulling van meerdere zeroday-kwetsbaarheden — waaronder het BitLocker-lek YellowKey en problemen met namen als RedSun, UnDefend, BlueHammer, GreenPlasma en MiniPlasma — soms vergezeld van exploitcode. Microsoft erkent dat de relatie met de beveiligingsgemeenschap cruciaal maar ook gevoelig is, en belooft onderzoekers te goeder trouw en met respect te behandelen, ook als er in het verleden spanningen waren. Security-experts wijzen op de spanning tussen verantwoord melden en publiek maken van kwetsbaarheden; openbaar beschikbare exploitcode vergroot het risico voor gebruikers en verklaart deels Microsofts eerdere harde toon.