微軟威脅對漏洞揭露者提起法律訴訟,引發資安社群批評
微軟因處理零日漏洞的方式遭到批評。一名自稱「Nightmare Eclipse」的人士公開發布概念驗證漏洞程式碼,疑似為微軟前員工。微軟不僅停用其多個帳號,更威脅以刑事訴訟追究其未遵循「適當協調揭露」程序的行為,引發資安研究人員強烈質疑。

文章重點
- 微軟威脅對化名「Nightmare Eclipse」的漏洞揭露者提起刑事訴訟,理由為未遵循協調揭露程序。
- 微軟停用了 Nightmare Eclipse 在 GitHub、GitLab 及微軟安全回應中心(MSRC)的帳號。
- Nightmare Eclipse 疑似為微軟離職員工,曾公開發布零日漏洞概念驗證程式碼。
- 資安研究員 Kevin Beaumont 批評微軟此舉恐對資安研究生態產生寒蟬效應。
微軟威脅對漏洞揭露者採取法律行動,資安社群譁然
微軟近日因處理零日漏洞(zero-day exploit)的方式引發嚴重批評。一名使用「Nightmare Eclipse」化名的人士持續與微軟公開對峙,並在網路上發布概念驗證(proof-of-concept)漏洞程式碼。從其發文內容判斷,此人疑似為微軟的離職員工。
微軟的強硬回應引發爭議
然而,真正引起資安研究人員 Kevin Beaumont 關注的,是微軟對此事件的回應方式。微軟表示計畫對 Nightmare Eclipse 提起刑事訴訟,理由是其未遵循漏洞揭露的「適當協調」(proper coordination)程序。
此外,微軟還停用了 Nightmare Eclipse 在 GitHub、GitLab 以及微軟安全回應中心(Microsoft Security Response Center,MSRC)的帳號。
資安社群的質疑
正如 Beaumont 所指出的,微軟此舉引發了資安社群的廣泛討論與批評。以法律行動威脅漏洞揭露者,被認為可能對整個資安研究生態產生寒蟬效應,讓研究人員在發現漏洞時更加猶豫是否應該公開。
這起事件凸顯了科技企業在漏洞揭露政策上的兩難:一方面希望透過協調揭露(coordinated disclosure)機制保護用戶安全,另一方面過度強硬的法律手段可能反而阻礙安全研究,最終損害整體網路安全。
完整報導請見 The Verge。
原文來源: 查看原文
常見問題
Newsletter
訂閱低空產業電子報
每日精選低空經濟與無人機產業新聞,直送您的信箱。
本文由 LAETimes 編輯部審核發佈 ·


