Microsoft ขู่ดำเนินคดีนักวิจัยความปลอดภัย หลังเปิดเผยช่องโหว่โดยไม่แจ้งล่วงหน้า
ความขัดแย้งระหว่างการเปิดเผยช่องโหว่กับความรับผิดชอบ
Microsoft ออกมาขู่ว่าจะดำเนินคดีตามกฎหมายและแจ้งเจ้าหน้าที่ตำรวจ หลังจากนักวิจัยความปลอดภัยที่ใช้นามแฝงว่า Nightmare Eclipse ได้เผยแพร่ข้อมูลช่องโหว่จำนวนมากในผลิตภัณฑ์ของบริษัท พร้อมแนบโค้ดสำหรับการเจาะระบบมาให้ด้วย ซึ่งเหตุการณ์นี้กลายเป็นประเด็นถกเถียงในวงการไอทีว่า นักวิจัยควรมีหน้าที่รับผิดชอบในการแจ้งเตือนช่องโหว่ให้บริษัทแก้ไขก่อนเผยแพร่สู่สาธารณะหรือไม่
ทางฝั่ง Microsoft ได้เผยแพร่บทความผ่านบล็อกส่วนตัวเพื่อวิพากษ์วิจารณ์ Nightmare Eclipse อย่างหนัก โดยระบุว่าการกระทำนี้ไม่ใช่แนวทางที่รับผิดชอบ และอาจเป็นการเปิดทางให้แฮกเกอร์นำไปใช้โจมตีผู้ใช้งานจริงได้ โดยเฉพาะเมื่อพบว่ามีช่องโหว่บางตัวถูกนำไปใช้ก่อเหตุแล้วตามรายงานของหน่วยงานความมั่นคงไซเบอร์อย่าง CISA ซึ่ง Microsoft ยืนยันว่าหน่วย Digital Crimes Unit ของบริษัทจะดำเนินการกับบุคคลเหล่านี้อย่างถึงที่สุด
ในอีกด้านหนึ่ง Nightmare Eclipse กลับออกมาโต้แย้งผ่านบล็อกส่วนตัวว่า ได้พยายามติดต่อสื่อสารกับ Microsoft แล้ว แต่กลับได้รับการปฏิบัติที่ไม่เหมาะสม เช่น การถูกระงับสิทธิ์การเข้าถึงบัญชี Microsoft Security Response Center ซึ่งเป็นช่องทางหลักที่นักวิจัยใช้แจ้งช่องโหว่ ทำให้นักวิจัยรายนี้รู้สึกว่าไม่มีทางเลือกอื่นนอกจากต้องเปิดเผยข้อมูลเหล่านี้สู่สาธารณะเพื่อกดดันให้เกิดการแก้ไข ซึ่งผลลัพธ์คือโค้ดถูกนำไปลงใน GitHub และ GitLab ก่อนที่จะถูกระงับบัญชีในเวลาต่อมา
เหตุการณ์นี้ปลุกกระแสการถกเถียงเรื่องความรับผิดชอบของนักวิจัยอิสระขึ้นมาอีกครั้ง แม้ในอดีตเราจะมีข้อตกลงเรื่องการได้รับค่าตอบแทนจากการแจ้งช่องโหว่หรือ Bug Bounty แต่หลายบริษัทก็ยังคงมองว่าการเปิดเผยข้อมูลก่อนการแก้ไขเป็นภัยคุกคาม ขณะที่ชุมชนนักวิจัยจำนวนมากกลับมองว่า Microsoft กำลังใช้อำนาจเกินขอบเขตในการขู่ดำเนินคดี ซึ่งอาจส่งผลเสียต่อความปลอดภัยโดยรวมของระบบไอทีในระยะยาว
Katie Moussouris ผู้ก่อตั้ง Luta Security และผู้เชี่ยวชาญด้านความมั่นคงไซเบอร์ระดับตำนาน ได้ออกมาวิพากษ์วิจารณ์การกระทำของ Microsoft อย่างตรงไปตรงมาว่า การนำคำว่าความรับผิดชอบมาอ้างเพื่อขู่ฟ้องร้องเป็นสิ่งที่เกินข้ามเส้นไปมาก และการทำเช่นนี้จะยิ่งทำให้นักวิจัยขาดความเชื่อมั่นในบริษัท ซึ่งสุดท้ายแล้วจะมีคนมาแจ้งเตือนช่องโหว่น้อยลง และทำให้ผู้ใช้งานทุกคนตกอยู่ในความเสี่ยงมากขึ้นกว่าเดิม
ทางด้าน Kevin Beaumont อดีตพนักงานของ Microsoft ก็ได้ออกมาแสดงความเห็นในทำนองเดียวกันว่า สถานการณ์นี้เป็นสิ่งที่บริษัทสร้างขึ้นเอง และการขู่ว่าจะเอาผิดทางอาญากับการทำ Proof of concept สำหรับช่องโหว่ถือเป็นระดับที่ต่ำที่สุดเท่าที่เคยเห็นมา เพราะการเรียกร้องความรับผิดชอบที่แท้จริงควรเน้นไปที่การป้องกันลูกค้า ไม่ใช่การใช้กฎหมายเพื่อปกป้องชื่อเสียงของผลิตภัณฑ์เพียงอย่างเดียว
