Microsoftتواجه انتقادات بعد مهاجمتها لباحث أمني

بعد أن نشر باحث أمني سلسلة من الثغرات غير المُصَحَّحَة في منتجات Microsoft، إلى جانب شيفرة لاستغلالها، أصبحت الشركة الآن تهدد باتخاذ إجراءات قانونية واستدعاء الشرطة بحقه. هذا التهديد الضمني من Microsoft يعيد إشعال جدل طويل حول مسؤولية الباحثين الأمنيين — إن وُجدت — في الإبلاغ عن الثغرات التي تؤثر على شركات تقنية عملاقة وثرية.
يوم الأربعاء، نشرت Microsoft تدوينة تنتقد فيها الباحث الذي يستخدم الاسم المستعار “Nightmare Eclipse”، بسبب كشفه علنًا عن سلسلة من الثغرات، بما في ذلك BlueHammer وRedSun وUnDefend وYellowKey. هذه الثغرات أثرت على منتجات مثل محرك الحماية المدمج في Windows المعروف باسم Defender وأداة تشفير الأقراص BitLocker.
جوهر انتقادات Microsoft هو أن الباحث لم يحاول الإبلاغ عن الثغرات لكي تتمكن الشركة من إصلاحها، وهو ما وصفته الشركة بأنه سلوك “مسؤول”. أما الجانب الآخر من موقفها فهو أن نشر تفاصيل الثغرات وطريقة استغلالها قبل إصلاحها قد يساعد القراصنة الخبيثين. ووفقًا لما ذكرته Microsoft وكذلك وكالة الأمن السيبراني الأمريكية CISA، فإن بعض هذه الثغرات التي كشفها الباحث تم استخدامها بالفعل في هجمات حقيقية.
وقالت Microsoft: «سيواصل قسم الجرائم الرقمية لدينا اتخاذ الإجراءات ضد هذه الجهات ومن يدعم أنشطتها الإجرامية — بالتنسيق مع جهات إنفاذ القانون حول العالم عند الحاجة». ويهدف هذا القسم، وفق موقع الشركة، إلى حماية Microsoft عبر أدوات مختلفة تشمل “الإجراءات القانونية المدنية، والإجراءات التقنية المضادة، والإحالات الجنائية، والشراكات بين القطاعين العام والخاص”.
في سلسلة تدوينات خلال الأسابيع الماضية — دون تقديم الكثير من التفاصيل — قال الباحث Nightmare Eclipse إنه كان على تواصل مع Microsoft، لكنه ادعى أن الشركة أساءت التعامل معه، بما في ذلك إلغاء حسابه في مركز استجابة أمان Microsoft، وهو البوابة التي يستخدمها الباحثون للإبلاغ عن الثغرات. وألمح الباحث إلى أنه لم يكن لديه خيار سوى نشر الثغرات علنًا، وهو ما جعلها عمليًا ثغرات “يوم صفر” (Zero-days)، أي ثغرات غير معروفة لمطور البرنامج وقت نشرها أو استغلالها.
وقد نشر الباحثون الثغرات على منصات مفتوحة المصدر مثل GitHub (المملوكة لـ Microsoft) وGitLab، وتم حظر حساباتهم على تلك المنصات.
لم يردّ كل من Nightmare Eclipse وMicrosoft على طلبات التعليق.
هذه المواجهة العلنية تعيد فتح نقاش طويل ومعقد: هل يتحمل الباحثون الأمنيون المستقلون مسؤولية ضمان إصلاح الثغرات التي يكتشفونها؟ وإلى أي مدى يجب أن يذهبوا لضمان أن الشركات المالكة للمنتجات الضعيفة تقوم بالفعل بإصلاحها؟
جزء من هذا النقاش تم حسمه إلى حد كبير، وهو أن الباحثين يستحقون الحصول على مقابل مادي لعملهم. ورغم أن ذلك يبدو بديهيًا اليوم، إلا أنه جاء بعد سنوات من الجدل، خاصة مع حملة بدأت عام 2009 بعنوان “No More Free Bugs”. وبعد نحو 20 عامًا، أصبحت معظم الشركات تدفع مكافآت “bug bounty” تصل أحيانًا إلى مئات آلاف الدولارات للباحثين الذين يبلغون عن الثغرات بشكل سري وينسقون نشرها بعد إصلاحها.
في ردود الفعل على هذه القضية، شارك عدد كبير من الباحثين الأمنيين تجاربهم السيئة مع Microsoft عند الإبلاغ عن الثغرات. ويمكن القول إن جزءًا كبيرًا من مجتمع الأمن السيبراني غير راضٍ عن طريقة تعامل Microsoft مع هذا الموضوع. ومن بين المنتقدين كاتي موسّوريس، مؤسسة شركة Luta Security، والتي كانت تعمل في Microsoft خلال منتصف وأواخر العقد الأول من الألفية، ولعبت دورًا رائدًا في تطوير برامج مكافآت الثغرات ودفع الشركة نحو التخلي عن مفهوم “الإفصاح المسؤول” لصالح “الإفصاح المنسق”.
وقالت موسّوريس: «استخدام مصطلح “الإفصاح المسؤول” كان الخطأ الأول في رأيي»، في إشارة إلى تدوينة Microsoft. وأضافت أن التهديد بالملاحقة عبر ذكر “قسم الجرائم الرقمية” كان مبالغًا فيه، وسيؤدي فقط إلى فقدان الباحثين الأمنيين ثقتهم بـ Microsoft.
وحذرت من أن فقدان هذه الثقة قد يؤدي إلى تأثير سلبي واسع، بحيث يقل عدد الأشخاص الذين يبلغون عن الثغرات، “مما يجعلنا جميعًا أقل أمانًا”.
كما انتقد الباحث الأمني وموظف Microsoft السابق كيفن بومونت موقف الشركة في تدوينة، واصفًا إياه بأنه “كارثة من صنعها بنفسها”.
وكتب بومونت: «هل أصبح الآن إنشاء وتوزيع نماذج استغلال ثغرات يوم الصفر نشاطًا إجراميًا؟ إن مفهوم “الإفصاح المسؤول” غالبًا ما يُستخدم لحماية مالك المنتج وليس المستخدم — واستخدامه لمحاولة ملاحقة أشخاص جنائيًا هو مستوى جديد من الانحدار».
الخبر منقول ومترجم من TechCrunch.
المصدر