Microsoft steht wegen seines Umgangs mit Zero-Day-Exploits in der Kritik. Jemand mit dem Namen Nightmare Eclipse hat sich öffentlich mit dem Unternehmen gestritten und einen Proof-of-Concept-Exploit-Code veröffentlicht. Einige ihrer Beiträge deuten darauf hin, dass es sich um einen verärgerten ehemaligen Mitarbeiter handelt. Doch was erwischte den Cyber-Sicherheitsforscher Kevin Beaumonts Auge war, wie Microsoft hat antwortete.

Microsoft schlägt vor, eine einzuführen Kriminalfall gegen Nightmare Eclipse wegen Nichteinhaltung der „richtigen Koordination“ bei der Offenlegung von Schwachstellen. Sie haben auch GitHub, GitLab und Microsoft Security Response Center von Nightmare Eclipse deaktiviert Konten deaktiviert. Beaumont betont: „Es ist ziemlich schwierig, künftige Schwachstellen ‚verantwortungsvoll‘ zu melden, wenn man gesperrt wurde.“

Was Beaumont beunruhigt, ist, dass Microsoft Leute eingestellt hat, die viele der genau gleichen Dinge getan haben. Sie haben Leute eingestellt, die Zero-Day-Exploits öffentlich gepostet haben, einige davon mit kriminellen Hacking-Verurteilungen. Microsoft hat auch Exploits von Brokern gekauft.

Wenn die Taktik von Microsoft darin besteht, die Nichteinhaltung oft willkürlicher „Responsible Disclosure“-Rahmenwerke zu kriminalisieren, dann wünsche ich Ihnen viel Erfolg bei der Verteidigung vor Gericht – denn bei Microsoft gibt es ein ganzes Clown-Auto früherer Entscheidungen und Fakten, die in diesem Prozess ans Licht kommen würden.