原文:Microsoft under fire for threatening security researcher with criminal investigation
在一名安全研究人员发布了微软产品中一系列未修补的漏洞以及利用这些漏洞的代码后,该公司现在威胁要采取法律行动并报警。微软的隐秘威胁重新引发了一场长期争论,即安全研究人员必须承担哪些责任(如果有的话)来披露影响大型和富有的科技巨头的漏洞。
周三,微软发表了一篇博客文章,批评这位化名为“Nightmare Eclipse”的研究人员公开披露了一系列错误,包括 BlueHammer、RedSun UnDefend 和 YellowKey。这些缺陷影响了 Windows 内置防病毒引擎 Defender 和磁盘加密工具 BitLocker 等产品。
微软抱怨的核心是,研究人员没有尝试报告这些错误,以便该公司能够修复它们。正如微软博客所说,这将是“负责任的”。该公司观点的另一面是,通过在修补之前发布错误的详细信息以及如何利用它们,Nightmare Eclipse 可能为恶意黑客提供了帮助。据微软和美国网络安全机构 CISA 称,Nightmare Eclipse 披露的一些漏洞已被黑客用于现实世界的攻击。
微软写道:“我们的数字犯罪部门将继续对这些行为者以及那些促成其犯罪活动的人提起诉讼,并根据需要与世界各地的执法部门进行协调。” (根据其网站,微软数字犯罪部门的使命是通过不同的策略来保护公司,包括“民事法律诉讼、技术对策、刑事移交和公私合作伙伴关系”)。
在过去几周发布的一系列博客中(没有提供太多具体细节),Nightmare Eclipse 声称已与微软联系,但据称该公司虐待他们,包括撤销对他们的 Microsoft 的访问权限