Microsoft minaccia azioni legali per la divulgazione di exploit informatici.
Microsoft e le Critiche sulle Vulnerabilità Zero-Day
Microsoft sta affrontando un’ondata di critiche riguardo al suo approccio nella gestione delle vulnerabilità zero-day. Un individuo noto con lo pseudonimo di Nightmare Eclipse ha avviato una polemica pubblica con l’azienda, rilasciando codici di exploit di prova. Alcuni dei suoi post lasciano supporre che si tratti di un ex dipendente scontento. Ciò che ha attirato l’attenzione del ricercatore di sicurezza informatica Kevin Beaumont è stata la risposta di Microsoft.
La Risposta di Microsoft alle Accuse
Microsoft ha annunciato l’intenzione di intraprendere azioni legali contro Nightmare Eclipse, accusandolo di non aver seguito le “procedure di coordinazione” appropriate nel divulgare le vulnerabilità. Inoltre, ha disabilitato gli account di Nightmare Eclipse su GitHub, GitLab e Microsoft Security Response Center. Secondo Beaumont, “È piuttosto difficile segnalare responsabilmente future vulnerabilità se sei stato bannato.” Questo fa sorgere interrogativi sulla trasparenza e sull’apertura della compagnia nei confronti delle segnalazioni degli esperti di cybersecurity.
Ciò che non convince Beaumont è la discrepanza tra le politiche di Microsoft e le pratiche interne. L’azienda ha assunto esperti che hanno pubblicamente divulgato exploit zero-day e alcuni di loro hanno condanne penali legate all’hacking. Microsoft ha anche acquisito exploit da broker di vulnerabilità in passato, il che solleva interrogativi sulla coerenza delle loro azioni.
About The Author
