Microsoft enfrenta críticas por su manejo de los exploits de día cero. Alguien llamado Nightmare Eclipse se ha peleado abiertamente con la empresa y ha publicado un código de explotación de prueba de concepto. Algunas de sus publicaciones sugieren que son ex empleados descontentos. Pero lo que llamó la atención de los investigadores en ciberseguridad Kevin Beaumont ojos son lo que tiene microsoft respuesta.
Microsoft sugiere sus planes para ofrecer un caso penal contra Nightmare Eclipse por no seguir la “coordinación adecuada” al revelar vulnerabilidades. También desactivaron GitHub, GitLab y Microsoft Security Response Center de Nightmare Eclipse. la cuenta está deshabilitada. Como dice Beaumont: “Es muy difícil informar ‘responsablemente’ sobre vulnerabilidades en el futuro cuando has sido bloqueado”.
El problema para Beaumont era que Microsoft había contratado personas que habían hecho exactamente las mismas cosas. Han contratado a personas que publican abiertamente exploits de día cero, algunos de los cuales tienen antecedentes penales por piratería informática. Microsoft también ha comprado exploits a intermediarios.
Si la táctica de Microsoft es tratar de criminalizar el no seguir arbitrariamente el marco de “divulgación responsable”, buena suerte defendiendo eso en los tribunales, porque hay mucha toma de decisiones previa dentro de Microsoft y hechos que surgirán en ese proceso.
