Microsoft เตรียมดำเนินคดีนักวิจัยความปลอดภัยหลังเปิดเผยช่องโหว่ระบบสู่สาธารณะ
Microsoft ขู่ดำเนินคดีทางกฎหมายและแจ้งความจับนักวิจัยด้านความปลอดภัย หลังนักวิจัยเปิดเผยช่องโหว่ซอฟต์แวร์ที่ยังไร้การแก้ไขพร้อมโค้ดสำหรับเจาะระบบ ท่าทีของบริษัทจุดประกายข้อถกเถียงเรื่องความรับผิดชอบของนักวิจัยในการรายงานช่องโหว่แก่บริษัทเทคโนโลยี
บริษัทเผยแพร่บทความวิจารณ์ Nightmare Eclipse (นามแฝงนักวิจัย) ประเด็นการเปิดเผยช่องโหว่ BlueHammer, RedSun, UnDefend และ YellowKey กระทบซอฟต์แวร์อย่าง Defender (โปรแกรมป้องกันไวรัส) และ BitLocker (เครื่องมือเข้ารหัสข้อมูล) บริษัทระบุว่านักวิจัยไม่พยายามรายงานปัญหาเพื่อให้บริษัทรับทราบ การเปิดเผยรายละเอียดและวิธีเจาะระบบก่อนมีแพตช์แก้ไขส่งผลให้แฮกเกอร์นำไปใช้โจมตีจริง หน่วยงาน Digital Crimes Unit (หน่วยงานปราบปรามอาชญากรรมดิจิทัล) ของบริษัทประกาศจะดำเนินคดีกับบุคคลเหล่านี้ร่วมกับหน่วยงานบังคับใช้กฎหมาย
นักวิจัยโต้แย้งว่าเคยติดต่อกับบริษัทแล้วแต่เผชิญการปฏิบัติอย่างไม่เป็นธรรม รวมถึงถูกเพิกถอนสิทธิ์การเข้าถึงบัญชี Microsoft Security Response Center (ศูนย์รับแจ้งช่องโหว่ความปลอดภัย) นักวิจัยอ้างว่าไม่มีทางเลือกอื่นนอกจากเปิดเผยช่องโหว่สู่สาธารณะ เปลี่ยนสถานะช่องโหว่เป็น zero-days (ช่องโหว่ความปลอดภัยที่ผู้ผลิตซอฟต์แวร์ยังไม่ทราบและยังไม่มีแพตช์แก้ไข) นักวิจัยเผยแพร่ข้อมูลบน GitHub และ GitLab ก่อนบัญชีจะถูกแบนในเวลาต่อมา
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์หลายรายแสดงความไม่พอใจต่อการจัดการปัญหาของบริษัท Katie Moussouris ผู้บุกเบิกโครงการ bug bounty (รางวัลสำหรับผู้ค้นพบช่องโหว่) มองว่าการขู่ดำเนินคดีจะทำให้นักวิจัยหมดความเชื่อมั่นและส่งผลเสียต่อความปลอดภัยในภาพรวม Kevin Beaumont อดีตพนักงานวิจารณ์ว่าการนำประเด็นความรับผิดชอบมาใช้ดำเนินคดีอาญากับนักวิจัยถือเป็นความตกต่ำครั้งใหม่ของบริษัท
ข้อพิพาทนี้รื้อฟื้นข้อถกเถียงเรื่องหน้าที่ของนักวิจัยอิสระ อดีตเคยมีแคมเปญ No More Free Bugs เพื่อเรียกร้องค่าตอบแทน ปัจจุบันบริษัทส่วนใหญ่จ่ายเงินรางวัลหลักแสนดอลลาร์สหรัฐแก่นักวิจัยแลกกับการแจ้งช่องโหว่แบบเป็นส่วนตัวและการประสานงานเพื่อเปิดเผยข้อมูลหลังแก้ไขช่องโหว่เสร็จสิ้น ท่าทีล่าสุดของบริษัทอาจส่งผลกระทบต่อความร่วมมือลักษณะนี้ในอนาคต
ที่มา: TechCrunch
Leave a Reply