- A Microsoft acusou um pesquisador de segurança, identificado como Nightmare Eclipse, de divulgar falhas do Windows sem avisar a empresa previamente.
- As vulnerabilidades citadas, chamadas RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma e MiniPlasma, teriam sido divulgadas em blogs e em repositórios públicos sem o prazo de correção.
- A Microsoft informou que continuará adotando medidas legais e pode acionar autoridades caso as divulgações sejam consideradas irresponsáveis.
- Nightmare Eclipse afirma ter tentado contatar a Microsoft, mas diz ter tido o acesso ao Microsoft Security Response Center bloqueado.
- Especialistas, como Kevin Beaumont, destacaram a dificuldade de lidar com segurança na prática, citando episódios anteriores de divergências entre a empresa e pesquisadores.
O debate entre a Microsoft e um pesquisador de segurança ganha novos contornos após acusações de divulgação irresponsável de falhas no Windows. A empresa sustenta que falhas identificadas por Nightmare Eclipse foram tornadas públicas sem avisar nem negociar prazos de correção, o que expõe clientes a riscos.
Segundo a Microsoft, as vulnerabilidades chamadas RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma e MiniPlasma não tiveram divulgação responsável. As equipes de segurança seguem analisando o impacto e implementando atualizações para proteger usuários.
As falhas diz-se que envolvem ferramentas como Windows Defender e BitLocker. Detalhes técnicos foram divulgados em blogs e, em repositórios do GitHub e GitLab, que já foram suspensos, aponta a empresa. A Microsoft diz manter ações legais se necessário.
O que diz Nightmare Eclipse
O pesquisador afirma ter tentado contatar a Microsoft para reportar as falhas, mas diz ter tido o acesso ao Microsoft Security Response Center bloqueado. Alega ainda que houve falta de resposta da empresa diante das vulnerabilidades.
Reações da comunidade técnica
Especialistas reconhecem a dificuldade de lidar com segurança da Microsoft, sem tomar partido. Um ex-funcionário da empresa criticou a classificação de provas de bugs como atividades criminosas, destacando a complexidade de divulgar vulnerabilidades com responsabilidade.
Recentemente, a Microsoft enfrentou outra controvérsia relacionada ao Edge, quando a empresa inicialmente descreveu como esperado o comportamento de carregar senhas na memória. A fabricante later se posicionou dizendo que isso não é adequado e correu ajustes de segurança.
Entre na conversa da comunidade