A Microsoft manifestou publicamente sua insatisfação contra um pesquisador de segurança que teria exposto vulnerabilidades em ferramentas do Windows sem aviso prévio à empresa. A crítica, embora compreensível sob o prisma da segurança digital, reacendeu um debate antigo sobre a relação conflituosa entre a gigante de tecnologia e os "caçadores de bugs" que denunciam falhas em seus sistemas.
As vulnerabilidades divulgadas e a resposta da Microsoft
O caso envolve seis falhas de segurança conhecidas como RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma e MiniPlasma, que afetam ferramentas críticas do Windows como o Windows Defender (Segurança do Windows) e o BitLocker. Em comunicado oficial, o Microsoft Security Response Center afirmou que as vulnerabilidades "não foram divulgadas de forma responsável" e que as equipes de segurança da empresa trabalham intensamente para compreender o impacto, proteger os clientes e desenvolver atualizações corretivas.
Os problemas foram inicialmente publicados de forma vaga em um blog por um pesquisador que se identifica apenas como Nightmare Eclipse. O aspecto mais preocupante, segundo a Microsoft, foi a publicação de detalhes técnicos sobre as falhas em repositórios do GitHub e GitLab, que posteriormente foram suspensos. A empresa informou que continuará adotando medidas judiciais e, se necessário, acionará autoridades policials contra exposições consideradas irresponsáveis.
A versão do pesquisador de segurança
Em sua defesa, Nightmare Eclipse alega ter tentado comunicar as vulnerabilidades à Microsoft, mas que a companhia não apenas ignorou suas tentativas de contato como bloqueou seu acesso ao Microsoft Security Response Center, a plataforma oficial destinada ao reporte de falhas de segurança. A versão do pesquisador contrapõe a narrativa da empresa e coloca em xeque a alegação de que não houve aviso prévio.
Especialistas criticam postura da Microsoft
De fora, é difícil determinar com certeza quem está correto nessa disputa. No entanto, outros especialistas aproveitaram a polêmica para expressar suas frustrações sobre as dificuldades de tratar questões de segurança com a Microsoft. Um dos mais vocalizados foi Kevin Beaumont, ex-funcionário da empresa e reconhecido especialista em segurança digital, conhecido por ter descoberto uma falha significativa no Windows Recall.
Embora não defenda as ações de Nightmare Eclipse, Beaumont foi severamente crítico terhadap a postura da empresa de classificar provas de bugs como "atividades criminosas". Em suas redes sociais, o especialista questionou: "A criação e distribuição de exploits de prova de conceito para zero-days agora é considerada 'atividade criminosa'? Quem na CELA aprovou esse texto?".
A contradição destacada por Beaumont
Beaumont chamou atenção para o que considera uma contradição da Microsoft. Segundo ele, a empresa é "a maior distribuidora de zero-days via GitHub" e, portanto, classificar a divulgação de provas de conceito como atividade criminosa representa uma hypocrasia. "Não seguir os processos inventados de 'divulgação responsável' não é ilegal", completou o especialista.
Histórico recente agrava a situação
O caso ganha contornos ainda mais delicados diante de um episódio recente que ilustra a problemática relação entre a Microsoft e os pesquisadores de segurança. No início deste mês, um pesquisador descobriu que o Microsoft Edge salvava senhas na memória em formato de texto simples, alertando a empresa sobre a falha.
Inicialmente, a Microsoft respondeu que se tratava de um comportamento esperado, o que generó forte crítica da comunidade de segurança. Apenas dez dias depois, a empresa admitiu que carregar senhas em texto no Edge não era uma abordagem segura e tratou de corrigir o problema, contradizendo sua própria resposta inicial.
Esse histórico evidencia os desafios enfrentados por pesquisadores que tentam colaborar com a Microsoft na identificação e correção de vulnerabilidades, levantando questões sobre os processos de divulgação responsável e a receptividade da empresa diante de alertas de segurança.
Fonte: https://tecnoblog.net
