Theo TechCrunch, nhóm nghiên cứu bảo mật có biệt danh Nightmare Eclipse gần đây đã công khai một loạt lỗ hổng bảo mật gồm BlueHammer, RedSun, UnDefend và YellowKey, ảnh hưởng đến các công cụ tích hợp sẵn trong Windows như phần mềm chống virus Microsoft Defender và công cụ mã hóa ổ đĩa BitLocker.
Trong bài đăng trên blog chính thức, Microsoft đã chỉ trích trực tiếp Nightmare Eclipse và đưa ra cảnh báo sẽ tiến hành kiện tụng và báo cáo cơ quan thực thi pháp luật. Hãng phần mềm Mỹ cho rằng nhóm nghiên cứu này không thực hiện quy trình báo cáo lỗi cho công ty để khắc phục trước khi công khai thông tin. Theo Microsoft, việc tiết lộ chi tiết các lỗ hổng và cách khai thác có thể đã vô tình hỗ trợ tin tặc. Cơ quan an ninh mạng CISA của Mỹ cũng được dẫn lời cho biết một số lỗ hổng mà Nightmare Eclipse công bố đã bị tin tặc khai thác trong các cuộc tấn công thực tế.
Microsoft cho biết Đơn vị Chống tội phạm kỹ thuật số của hãng sẽ tiếp tục theo đuổi các hành động pháp lý đối với những cá nhân liên quan và các bên hỗ trợ hoạt động tội phạm mạng, đồng thời phối hợp với cơ quan thực thi pháp luật toàn cầu khi cần thiết. Đơn vị này cũng được mô tả có nhiệm vụ bảo vệ công ty thông qua các biện pháp như hành động pháp lý dân sự, biện pháp kỹ thuật, chuyển giao cho cơ quan chức năng và hợp tác công – tư.
Trong khi đó, Nightmare Eclipse cho biết họ đã liên hệ với Microsoft nhưng cáo buộc hãng công nghệ này đối xử không thỏa đáng, thậm chí thu hồi quyền truy cập vào Microsoft Security Response Center – cổng tiếp nhận báo cáo lỗ hổng bảo mật. Nhóm nghiên cứu cho rằng họ không còn lựa chọn nào khác ngoài việc công khai các lỗ hổng này, sau đó đăng tải trên GitHub và GitLab. Tuy nhiên, tài khoản của họ trên các nền tảng này cũng bị khóa sau đó.
Sự việc giữa Microsoft và Nightmare Eclipse làm dấy lên tranh luận về trách nhiệm của các nhà nghiên cứu bảo mật trong việc công bố lỗ hổng và mức độ phối hợp với doanh nghiệp sở hữu sản phẩm bị ảnh hưởng.
Một số nhà nghiên cứu chia sẻ rằng quá trình báo cáo lỗi cho Microsoft từng gặp nhiều khó khăn. Cựu chuyên gia Microsoft và nhà sáng lập Luta Security, Katie Moussouris, cho rằng cần thay thế khái niệm “tiết lộ có trách nhiệm” bằng “tiết lộ có phối hợp”, đồng thời chỉ trích việc đe dọa truy tố có thể làm suy giảm niềm tin của cộng đồng bảo mật.
Một nhà nghiên cứu bảo mật khác, Kevin Beaumont – cựu nhân viên Microsoft – cũng chỉ trích cách tiếp cận của hãng, cho rằng việc coi công bố mã khai thác lỗ hổng chưa vá là hành vi tội phạm là vấn đề đáng lo ngại, đồng thời nhấn mạnh mục tiêu của tiết lộ có trách nhiệm là bảo vệ người dùng chứ không chỉ bảo vệ doanh nghiệp.
Hiện cả Microsoft và Nightmare Eclipse đều chưa đưa ra phản hồi chính thức bổ sung về tranh cãi này.
Bình luận
0