Nội dung bài viết
StrictlyVC đầu tiên của năm 2026 sẽ ra mắt SF vào ngày 30 tháng 4. Vé đang bán rất nhanh.
Đăng ký ngay bây giờ. Nhận khoản tiết kiệm từ chương trình Disrupt Early Bird lên tới 410 USD trước 11:59 tối ngày 29 tháng 5.
PT. Đăng ký ngay bây giờ.
Sau khi một nhà nghiên cứu bảo mật công bố một loạt lỗi chưa được vá trong các sản phẩm của Microsoft cùng với mã để khai thác chúng, công ty hiện đang đe dọa sẽ thực hiện hành động pháp lý và gọi cảnh sát tới để xử lý chúng.
Mối đe dọa được che đậy của Microsoft đã khơi dậy một cuộc tranh luận kéo dài về trách nhiệm nào, nếu có, các nhà nghiên cứu bảo mật phải tiết lộ các lỗ hổng ảnh hưởng đến những gã khổng lồ công nghệ lớn và giàu có.
Vào thứ Tư, Microsoft đã xuất bản một bài đăng trên blog chỉ trích nhà nghiên cứu có biệt danh “Nightmare Eclipse” vì đã tiết lộ công khai một loạt lỗi, bao gồm BlueHammer, RedSun, UnDefend và YellowKey.
Các lỗ hổng ảnh hưởng đến các sản phẩm như công cụ chống vi-rút tích hợp sẵn trong Windows Defender và công cụ mã hóa ổ đĩa BitLocker. Cốt lõi của những lời phàn nàn của Microsoft là nhà nghiên cứu đã không cố gắng báo cáo các lỗi để công ty có thể sửa chúng.
Đó có thể là “có trách nhiệm”, như blog của Microsoft đã nói. Mặt khác trong lập luận của công ty là bằng cách công bố chi tiết về các lỗi và cách phát hiện đối với chúng trước khi chúng được vá, Nightmare Eclipse có thể đã hỗ trợ các tin tặc độc hại.
Theo Microsoft, cũng như cơ quan an ninh mạng CISA của Hoa Kỳ, một số lỗ hổng mà Nightmare Eclipse tiết lộ đã bị tin tặc sử dụng trong các cuộc tấn công trong thế giới thực.
Microsoft viết: “Đơn vị tội phạm kỹ thuật số của chúng tôi sẽ tiếp tục khởi kiện những kẻ này và những kẻ cho phép hoạt động tội phạm của chúng – phối hợp khi cần thiết với cơ quan thực thi pháp luật trên toàn thế giới”.
(Đơn vị tội phạm kỹ thuật số của Microsoft có sứ mệnh bảo vệ công ty thông qua các chiến lược khác nhau, bao gồm “các hành động pháp lý dân sự, các biện pháp đối phó kỹ thuật, chuyển tội phạm và quan hệ đối tác công tư”, theo trang web của công ty).
Trong một loạt blog được xuất bản trong vài tuần qua – không cung cấp nhiều chi tiết cụ thể – Nightmare Eclipse tuyên bố đã liên hệ với Microsoft, nhưng công ty bị cáo buộc đã ngược đãi họ, bao gồm cả việc thu hồi quyền truy cập vào tài khoản Trung tâm Phản hồi Bảo mật của Microsoft, cổng thông tin nơi các nhà nghiên cứu có thể báo cáo các lỗ hổng cho gã khổng lồ công nghệ.
Ý nghĩa của Nightmare Eclipse là họ không có lựa chọn nào khác ngoài việc công bố các lỗ hổng một cách công khai, điều này về cơ bản là Điều đó có nghĩa là tại thời điểm đó chúng là zero-day, một thuật ngữ cụ thể để chỉ các lỗi bảo mật mà nhà sản xuất phần mềm bị ảnh hưởng không xác định được tại thời điểm chúng được tiết lộ hoặc khai thác.
Các nhà nghiên cứu đã công bố các lỗi trên kho lưu trữ nguồn mở GitHub (thuộc sở hữu của Microsoft) và GitLab. Tài khoản của các nhà nghiên cứu trên các nền tảng đó đã bị cấm.
Nightmare Eclipse và Microsoft đã không trả lời yêu cầu bình luận. Cuộc tranh cãi công khai này gợi lại một cuộc tranh luận kéo dài và vẫn còn gây tranh cãi: Các nhà nghiên cứu bảo mật độc lập có nghĩa vụ đảm bảo các lỗ hổng mà họ tìm thấy đã được khắc phục không?
Và họ phải đi bao xa để đảm bảo rằng các công ty có sản phẩm dễ bị tổn thương thực sự khắc phục được chúng? Một phần của cuộc tranh luận này, đã được giải quyết hoàn toàn và được công nhận rộng rãi, là các nhà nghiên cứu xứng đáng được trả tiền cho công việc của họ.
Mặc dù ngày nay điều này nghe có vẻ hiển nhiên, nhưng phải mất nhiều năm đấu tranh, một phần được thể hiện trong chiến dịch phát động năm 2009 có tên “Không còn lỗi miễn phí”.
Gần 20 năm sau, hầu hết các công ty lớn và nhỏ đều trả tiền thưởng tài chính “tiền thưởng lỗi”, số tiền này ngày nay có thể lên tới sáu con số hoặc hơn cho các nhà nghiên cứu tiết lộ lỗi và điều phối một cách riêng tư. xuất bản thông tin chi tiết của họ sau khi các lỗi được sửa.
Để đối phó với cuộc tranh cãi mới nhất về Nightmare Eclipse, vô số nhà nghiên cứu đã chia sẻ những trải nghiệm tồi tệ của họ khi báo cáo lỗi cho Microsoft. Công bằng mà nói thì phần lớn cộng đồng an ninh mạng tỏ ra không hài lòng về cách Microsoft xử lý vấn đề này.
Điều này bao gồm các chuyên gia an ninh mạng kỳ cựu, chẳng hạn như Katie Moussouris, người sáng lập Luta Security, người khi còn làm việc tại Microsoft vào giữa đến cuối những năm 2000 đã đi tiên phong trong việc phát hiện lỗi và thuyết phục gã khổng lồ công nghệ loại bỏ khái niệm “tiết lộ có trách nhiệm” bằng cách đóng khung quy trình là “tiết lộ phối hợp”.
Moussouris nói với TechCrunch: “Việc viện dẫn thuật ngữ tiết lộ ‘có trách nhiệm’ là cảnh cáo đầu tiên trong cuốn sách của tôi,” Moussouris nói với TechCrunch, đề cập đến bài đăng trên blog của Microsoft.
“Việc thêm mối đe dọa truy tố bằng cách đề cập đến [Đơn vị tội phạm kỹ thuật số] là quá đáng và sẽ chỉ khiến các nhà nghiên cứu bảo mật mất lòng tin vào Microsoft.” Moussouris cảnh báo rằng hậu quả của việc các nhà nghiên cứu bảo mật mất niềm tin vào Microsoft có thể dẫn đến hiệu ứng ớn lạnh khi có ít người đến báo cáo lỗi hơn, “làm cho tất cả chúng ta kém an toàn hơn”.
Nhà nghiên cứu bảo mật và cựu nhân viên Microsoft Kevin Beau Mont cũng chỉ trích Microsoft trong một bài đăng trên blog, mô tả quan điểm của công ty là “một vụ cháy rác do chính họ tạo ra”.
“Bằng chứng về việc tạo và phân phối khai thác trong 0 ngày bây giờ có phải là 'hoạt động tội phạm' không?" Beaumont đã viết.
“Việc tiết lộ có trách nhiệm thường được xây dựng để bảo vệ chủ sở hữu sản phẩm chứ không phải khách hàng, việc sử dụng nó để truy tố hình sự mọi người là một điều thấp mới.” Khi bạn mua hàng thông qua các liên kết trong bài viết của chúng tôi, chúng tôi có thể kiếm được một khoản hoa hồng nhỏ.
Điều này không ảnh hưởng đến tính độc lập biên tập của chúng tôi. Lorenzo Franceschi-Bicchierai là Nhà văn cấp cao tại TechCrunch, nơi ông đề cập đến vấn đề hack, an ninh mạng, giám sát và quyền riêng tư.
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.