A Microsoft ameaçou processar o pesquisador de segurança Nightmare Eclipse após a divulgação de códigos de exploração de vulnerabilidades de dia zero. A empresa desativou as contas do pesquisador no GitHub, GitLab e no Microsoft Security Response Center.
Nightmare Eclipse, que se identifica como ex-funcionário insatisfeito, vinha publicando provas de conceito para explorar falhas nos produtos da empresa. A Microsoft alegou que ele não seguiu os procedimentos de divulgação coordenada de vulnerabilidades.
O pesquisador de cibersegurança Kevin Beaumont criticou a postura da empresa. Ele destacou que a Microsoft já contratou profissionais que agiram de forma semelhante, incluindo indivíduos com condenações criminais por invasão de sistemas.
Beaumont ressaltou que a Microsoft também adquiriu exploits de corretores, prática comparável à divulgação pública de códigos por pesquisadores independentes. Ele questionou a consistência da empresa ao criminalizar a divulgação fora dos canais oficiais.
A desativação das contas impede Nightmare Eclipse de reportar futuras vulnerabilidades à Microsoft. Beaumont observou que é difícil reportar falhas de forma responsável quando o pesquisador foi banido.
A atitude da empresa gerou debate sobre a ética dos programas de recompensa por bugs. Especialistas argumentam que as políticas de divulgação coordenada servem para silenciar críticas e evitar escrutínio público.
A Microsoft não comentou o caso específico de Nightmare Eclipse. A empresa tem histórico de ações legais contra pesquisadores que não seguem suas regras de divulgação, mas raramente move processos criminais.
A situação levanta questões sobre transparência e segurança digital. A criminalização da pesquisa independente pode inibir a identificação de vulnerabilidades e prejudicar a segurança na internet.
O caso reforça a tensão entre empresas de tecnologia e pesquisadores de segurança. A postura legalista da Microsoft afasta potenciais aliados na luta contra cibercriminosos.
A polêmica questiona se os mecanismos de divulgação responsável beneficiam os usuários ou protegem interesses comerciais. Críticos apontam que os programas de recompensa são insuficientes e expõem pesquisadores a riscos legais.
Empresas como a Microsoft mantêm programas de recompensa para reportes privados de falhas. No entanto, especialistas alegam que as remunerações são baixas e as correções demoram meses, deixando os pesquisadores vulneráveis.
Leia mais sobre o assunto na theverge.com.
? Inscreva-se na Newsletter de O Cafezinho
Receba nossas análises e as principais notícias diárias do Brasil e do Sul Global.
Nenhum comentário ainda, seja o primeiro!