北京
上個月,一名自稱"Nightmare Eclipse"的安全研究人員在GitHub公開發布了多段針對微軟產品的漏洞利用概念驗證代碼。更引人注目的是,這名研究者以化名在社交平臺公開嘲諷微軟,部分發言暗示自己可能曾是微軟在職員工。
微軟官方隨后發表聲明,表示計劃以研究者未能按"協調披露原則"提交漏洞為由,考慮對Nightmare Eclipse提起法律訴訟。公司已經封禁了其在GitHub、GitLab以及微軟安全響應中心的相關賬戶。
但網絡安全領域知名研究者凱文·博蒙特(Kevin Beaumont)的注意力并不在這些漏洞本身,而是轉向了微軟的應對方式。他在個人社交媒體上連發多條推文,直指事件中一個關鍵矛盾:當事人的賬戶已被全面封禁,幾乎不可能再按微軟要求"負責任披露",提交任何安全漏洞的詳細報告。
博蒙特進一步指出,更具諷刺意味的是,微軟內部其實長期雇傭過這類公開發表零日漏洞利用代碼的人員,其中甚至包括曾被定罪的黑帽黑客。與此同時,公司自身也通過漏洞經紀人持續購買他人的利用程序。按博蒙特的分析,微軟現在試圖在"一套按需定義的負責任披露框架下"采取行動,這種做法本身就站不住腳。
他警告稱,一旦此類案件被真正推上法庭,微軟過往在安全策略、雇傭記錄和漏洞交易方面的決策都會被逐一擺上臺面。這些記錄將在審訊中被當作證據交叉質證,構成一輛"裝滿矛盾且不堪細查的破車",讓公司在司法審查中難以自圓其說。
從整個事件看,微軟一方面高度依賴安全研究社區的合作生態,并通過雇傭和購買方式深度接觸這類研究者與漏洞成果;另一方面卻以極為強硬、甚至帶有威脅意味的法律手段,追責那些公開披露漏洞信息的個人。相關爭議正在安全圈內持續發酵,也重新點燃了科技行業對"什么是負責任披露"以及大型科技公司在漏洞發現與披露流程中如何劃清界限的深層討論。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
