冲突升级
微软已着手对化名为“Nightmare Eclipse”的安全研究人员采取刑事诉讼,这标志着双方在零日漏洞披露问题上的公开争端进一步升级。作为执法行动的一部分,微软已封禁了该研究人员对微软安全响应中心(MSRC)的访问权限,并关闭了其相关的 GitHub 和 GitLab 账号,起因是该研究人员公开发布了漏洞概念验证(PoC)代码。
争议焦点
尽管有报道称该研究人员可能是微软的前员工,但微软在公开声明中主要强调了此人未能遵守“协调披露”的相关标准。微软近期发布了新的指导方针,强调了客户保护的共同责任模式,并指出该研究人员绕过私密报告渠道的做法明显违反了这一原则。
专家批评
微软这种强硬的法律立场招致了网络安全专家凯文·博蒙特(Kevin Beaumont)的尖锐批评。博蒙特指出这一事件极具讽刺意味,他提到微软过去曾聘用过公开披露零日漏洞的人员,其中甚至包括有黑客犯罪前科的人。此外,他还指出微软历史上一直有从第三方经纪人手中购买漏洞的先例。
博蒙特质疑了微软当前做法的有效性,并指出一旦研究人员被公司平台封禁,他们将很难再“负责任地”报告未来的漏洞。他警告称,如果微软试图将偏离其“负责任披露”框架的行为刑事化,可能会面临艰难的法律诉讼。
博蒙特认为,此类案件的取证过程很可能会暴露出微软内部做法的不一致性。他表示:“如果微软的策略是试图将不遵循那些往往带有随意性的‘负责任披露’框架的行为刑事化,那祝他们在法庭上好运吧——因为微软内部过往的决策记录和事实,就像一辆装满小丑的车,一旦进入法律程序,这些都会被公之于众。”
