💡 Theo đánh giá của RetroLab, việc Microsoft đe dọa truy tố hình sự một nhà nghiên cứu bảo mật vì tiết lộ lỗ hổng là một bước đi quá đáng và phản tác dụng. Đội ngũ RetroLab cho rằng thay vì dùng vũ lực pháp lý, Microsoft nên tập trung cải thiện quy trình tiếp nhận báo cáo lỗ hổng và xây dựng lòng tin với cộng đồng bảo mật.
Một cuộc tranh cãi nảy lửa trong cộng đồng an ninh mạng lại bùng lên sau khi Microsoft chính thức lên tiếng đe dọa sẽ khởi kiện và chuyển vụ việc cho cơ quan thực thi pháp luật đối với một nhà nghiên cứu bảo mật. Người này, với biệt danh "Nightmare Eclipse", đã công khai hàng loạt lỗ hổng bảo mật chưa được vá trong các sản phẩm của Microsoft, kèm theo mã khai thác (exploit code). Hành động này đã châm ngòi cho một cuộc tranh luận kéo dài: liệu các nhà nghiên cứu bảo mật độc lập có trách nhiệm gì trong việc tiết lộ lỗ hổng ảnh hưởng đến các gã khổng lồ công nghệ giàu có hay không?

Lỗ hổng bị phơi bày và phản ứng của Microsoft
Vào ngày 29 tháng 5, Microsoft đăng tải một bài blog chỉ trích Nightmare Eclipse vì đã tiết lộ công khai một loạt lỗ hổng, bao gồm BlueHammer, RedSun, UnDefend và YellowKey. Những lỗ hổng này ảnh hưởng đến các sản phẩm quan trọng như công cụ diệt virus tích hợp Windows Defender và công cụ mã hóa ổ đĩa BitLocker.
Điểm mấu chốt trong lời chỉ trích của Microsoft là nhà nghiên cứu đã không báo cáo lỗ hổng để công ty có thể vá chúng trước. Theo Microsoft, đó mới là hành vi "có trách nhiệm". Công ty còn lập luận rằng việc công bố chi tiết lỗ hổng và cách khai thác trước khi được vá có thể tiếp tay cho tin tặc. Microsoft và Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) xác nhận một số lỗ hổng do Nightmare Eclipse tiết lộ đã bị tin tặc sử dụng trong các cuộc tấn công thực tế.
Trong bài blog, Microsoft viết: "Đơn vị Tội phạm Kỹ thuật số (Digital Crimes Unit) của chúng tôi sẽ tiếp tục đưa ra các vụ kiện chống lại những tác nhân này và những kẻ tiếp tay cho hoạt động tội phạm của họ — phối hợp khi cần thiết với cơ quan thực thi pháp luật trên toàn thế giới."
Lập trường của nhà nghiên cứu và phản ứng từ cộng đồng
Trong một loạt bài đăng trên blog vài tuần trước đó, Nightmare Eclipse tuyên bố đã liên hệ với Microsoft nhưng bị đối xử tệ, bao gồm việc bị thu hồi quyền truy cập vào cổng thông tin Microsoft Security Response Center (MSRC) – nơi các nhà nghiên cứu có thể báo cáo lỗ hổng. Theo lời của Nightmare Eclipse, họ không còn lựa chọn nào khác ngoài việc công khai các lỗ hổng, biến chúng thành zero-day – thuật ngữ chỉ lỗ hổng chưa được nhà sản xuất phần mềm biết đến tại thời điểm bị tiết lộ hoặc khai thác.
Các lỗ hổng đã được đăng tải trên GitHub (thuộc sở hữu của Microsoft) và GitLab. Tài khoản của nhà nghiên cứu trên cả hai nền tảng này đều bị khóa. Cả Nightmare Eclipse và Microsoft đều không phản hồi yêu cầu bình luận từ TechCrunch.
Sự việc này ngay lập tức gây ra làn sóng phẫn nộ trong cộng đồng an ninh mạng. Nhiều chuyên gia kỳ cựu lên tiếng chỉ trích cách xử lý của Microsoft.
Các chuyên gia bảo mật cảnh báo hiệu ứng đóng băng (chilling effect)
Cuộc tranh cãi công khai này làm sống lại một vấn đề vẫn còn gây tranh cãi: Liệu các nhà nghiên cứu bảo mật độc lập có nghĩa vụ đảm bảo các lỗ hổng họ tìm ra được vá hay không? Và họ phải làm gì để buộc các công ty có sản phẩm dễ bị tổn thương thực sự sửa chữa chúng?
Một phần của cuộc tranh luận đã được giải quyết và được công nhận rộng rãi: các nhà nghiên cứu xứng đáng được trả công cho công việc của họ. Điều này tưởng chừng hiển nhiên, nhưng phải mất nhiều năm đấu tranh, mà đỉnh điểm là chiến dịch "No More Free Bugs" năm 2009. Gần 20 năm sau, hầu hết các công ty lớn nhỏ đều có chương trình bug bounty trả thưởng tài chính, có thể lên tới sáu con số hoặc hơn cho các nhà nghiên cứu báo cáo lỗ hổng riêng tư và phối hợp công bố sau khi đã vá.
Phản ứng trước vụ việc với Nightmare Eclipse, vô số nhà nghiên cứu đã chia sẻ những trải nghiệm tồi tệ của họ khi báo cáo lỗ hổng cho Microsoft. Có thể nói phần lớn cộng đồng an ninh mạng đang không hài lòng với cách Microsoft xử lý vấn đề này. Trong số đó có những chuyên gia kỳ cựu như Katie Moussouris, người sáng lập Luta Security. Chính bà là người đã tiên phong xây dựng chương trình bug bounty khi còn làm việc tại Microsoft vào giữa và cuối thập niên 2000, đồng thời thuyết phục gã khổng lồ công nghệ từ bỏ khái niệm "tiết lộ có trách nhiệm" (responsible disclosure) để chuyển sang "tiết lộ phối hợp" (coordinated disclosure).
Moussouris chia sẻ với TechCrunch: "Việc sử dụng thuật ngữ 'tiết lộ có trách nhiệm' đã là một đòn giáng đầu tiên trong cuốn sách của tôi. Thêm vào đó lời đe dọa truy tố bằng cách nhắc đến [Digital Crimes Unit] là quá đáng, và sẽ chỉ khiến các nhà nghiên cứu bảo mật mất lòng tin vào Microsoft."
Bà cảnh báo rằng hậu quả của việc các nhà nghiên cứu mất niềm tin vào Microsoft có thể dẫn đến hiệu ứng đóng băng (chilling effect) – ít người dám báo cáo lỗ hổng hơn, "khiến tất cả chúng ta kém an toàn hơn".
Kevin Beaumont, một nhà nghiên cứu bảo mật và cựu nhân viên Microsoft, cũng chỉ trích gay gắt trong một bài blog, gọi lập trường của Microsoft là "một bãi rác tự đốt" (dumpster fire of its own making).
Beaumont viết: "Việc tạo và phân phối mã khai thác proof-of-concept cho zero-day giờ đây là 'hoạt động tội phạm' ư? Tiết lộ có trách nhiệm thường được đóng khung để bảo vệ chủ sở hữu sản phẩm, chứ không phải khách hàng – dùng nó để cố gắng truy tố hình sự mọi người là một mức thấp mới."
Kết luận
Sự việc này một lần nữa đặt ra câu hỏi về ranh giới giữa trách nhiệm của nhà nghiên cứu bảo mật và quyền lợi của các tập đoàn công nghệ. Liệu Microsoft có thực sự theo đuổi các hành động pháp lý hay không vẫn còn là ẩn số, nhưng chắc chắn rằng lòng tin giữa cộng đồng bảo mật và một trong những gã khổng lồ công nghệ lớn nhất thế giới đang bị tổn hại nghiêm trọng.
Nguồn: TechCrunch - https://techcrunch.com/2026/05/29/microsoft-under-fire-for-threatening-security-researcher-with-criminal-investigation/






