微软威胁对安全研究员提起刑事调查,零日漏洞披露引发行业争议
漏洞披露的法律边界在全球范围内一直存在争议。美国的计算机欺诈和滥用法案可以被用来起诉未经授权访问系统的行为,即使是出于安全研究目的。微软威胁提起刑事调查的做法让安全社区感到震惊,因为它可能开创一个先例:厂商可以利用法律工具来打压发现其产品安全问题的研究者。
凯文·博蒙特在其博客文章中详细分析了微软的回应策略。他指出,微软的零日漏洞管理流程本身就存在问题,公司多次被批评在漏洞修补方面反应迟缓。在这种情况下,对发现问题的研究者施加法律压力不仅不合理,还会进一步损害微软在安全社区中的形象。博蒙特认为,微软应该专注于修补漏洞而不是追究发现者的责任。
微软与一名化名为"噩梦日蚀"的独立安全研究员之间的公开冲突正在升级。微软表示计划对该研究员提起刑事诉讼,理由是其未按照"协调漏洞披露"程序公开漏洞利用代码。这一事件引发了网络安全行业对软件安全责任归属的激烈辩论。
据 TechCrunch 报道,"噩梦日蚀"此前在社交媒体上公开了多个零日漏洞的概念验证代码,部分帖子暗示此人可能是微软的前员工。网络安全研究员凯文·博蒙特指出,微软的回应方式才是真正的问题所在:微软不仅威胁提起刑事调查,还禁用了该研究员在 GitHub、GitLab 和微软安全响应中心的账户。
The Verge 的报道进一步揭示了事件背景。微软在其安全博客上发布了一篇题为"共享责任:通过协调漏洞披露保护客户"的文章,强调漏洞披露应遵循官方程序。但批评者认为,当微软自己未能及时修补漏洞时,却对发现漏洞的研究者施加法律压力,这种做法是在惩罚报告问题的人而不是解决问题。
这一事件的核心矛盾在于:安全研究员发现漏洞后应该如何处理?按照传统做法,研究员会私下联系厂商并给予合理的修复时间。但当厂商反应迟缓或试图压制披露时,公开漏洞利用代码有时是迫使厂商行动的唯一手段。微软的做法可能让其他安全研究员在未来更不愿意负责任地报告漏洞。
更广泛的影响在于,微软作为全球最大的软件公司之一,其对待安全研究者的态度可能为整个行业树立先例。如果厂商可以对漏洞披露者提起刑事诉讼,独立安全研究的生态系统将受到严重冲击,最终受损的将是所有软件用户的安全。