Microsoft'un Suçlama Tehdidi
Microsoft, bağımsız güvenlik araştırmacısı Nightmare Eclipse'in, ürünlerindeki yamanmamış açıkları yayımlamasının ardından, yasal işlem tehdidinde bulundu. Araştırmacı, Windows Defender ve BitLocker gibi ürünlerdeki açıkları içeren bir dizi hata yayımladı. Microsoft'un bu durumu, güvenlik araştırmacılarının büyük teknoloji firmalarına karşı sorumluluğu konusundaki uzun süreli tartışmaları yeniden gündeme getirdi.
Microsoft'un, araştırmacının hataları rapor etmeden yayımladığına dair eleştirileri, bu sürecin sorumlu bir davranış olarak değerlendirilmesi gerektiğini vurguluyor. Ancak, bu durumun kötü niyetli hackerlar için bir fırsat oluşturduğunu belirtmekte de ısrarcılar. Örneğin, Nightmare Eclipse'in yayımladığı güvenlik açıkları, gerçek dünya saldırılarında kullanılmış durumda, bu bilgiyi Microsoft ve ABD siber güvenlik ajansı CISA doğruladı.
Araştırmacının Yanıtı ve İddiaları
Nightmare Eclipse, Microsoft ile iletişimde olduklarını ve kötü muamele gördüklerini ifade etti. Microsoft Security Response Center hesabına erişimlerinin iptal edildiğini belirten araştırmacı, elinde kalan tek seçeneğin açıkları kamuya açıklamak olduğunu savunuyor. Yayınlanan açıklar, GitHub ve GitLab gibi açık kaynak platformlarda yayımlandı; ancak araştırmacının hesapları bu platformlardan yasaklandı.
Siber Güvenlik Tartışmaları
Bu tartışma, bağımsız güvenlik araştırmacılarının buldukları açıkları düzeltmek için ne gibi bir sorumluluğa sahip olduğu üzerine devam eden bir tartışmayı yeniden canlandırdı. Araştırmacıların, buldukları açıkları düzeltmek için ne kadar çaba sarf etmeleri gerektiği hala belirsizliğini koruyor. Ancak, bir noktada hemfikir olunuyor: Güvenlik araştırmacıları, işlerinin karşılığında ödeme almayı hak ediyor.
2009 yılında başlatılan “No More Free Bugs” kampanyası, bu konunun önemini vurguladı. Bugün, birçok şirket, güvenlik açıklarını özel olarak bildiren araştırmacılara altı haneli ödüller sunuyor.
Güven Kaybı ve Sonuçları
Microsoft'un bu tartışma karşısındaki tutumu, güvenlik topluluğunda büyük bir rahatsızlık yarattı. Luta Security'nin kurucusu Katie Moussouris, Microsoft'un tutumunu eleştirerek, güvenlik araştırmacılarının şirketle olan güveninin kaybolmasının, daha az kişinin açık bildirmesine yol açabileceğini belirtti.
Eski Microsoft çalışanı Kevin Bueaumont, durumu bir “çöp yangını” olarak nitelendirerek, sorumlu açıklamanın genellikle ürün sahibini koruduğunu, müşteriyi değil, bu durumun suçlamaya dönüşmesinin kabul edilemez olduğunu ifade etti.
