💡 Theo đánh giá của RetroLab, động thái của Microsoft cho thấy một sự mâu thuẫn sâu sắc trong cách tiếp cận an ninh mạng của hãng. Việc đe dọa kiện tụng một nhà nghiên cứu trong khi từng dung túng những hành vi tương tự từ nhân viên là một con dao hai lưỡi, có thể làm xói mòn lòng tin của cộng đồng bảo mật.
Một cuộc tranh cãi nảy lửa đang diễn ra giữa Microsoft và một nhà nghiên cứu bảo mật tự xưng là Nightmare Eclipse, người đã công khai đăng tải mã khai thác (proof-of-concept) cho các lỗ hổng zero-day. Sự việc không chỉ làm dấy lên câu hỏi về ranh giới giữa tiết lộ có trách nhiệm và hành vi vi phạm, mà còn phơi bày những mâu thuẫn trong chính sách của Microsoft.

Theo các bài đăng, Nightmare Eclipse có thể là một cựu nhân viên bất mãn của Microsoft. Tuy nhiên, điều khiến cộng đồng bảo mật chú ý hơn cả là cách Microsoft phản ứng. Hãng đã lên tiếng đe dọa sẽ khởi kiện hình sự đối với Nightmare Eclipse vì không tuân thủ “quy trình phối hợp” trong việc tiết lộ lỗ hổng. Cụ thể, Microsoft đã vô hiệu hóa tài khoản GitHub, GitLab và Microsoft Security Response Center của người này.
Phản ứng của Microsoft và chỉ trích từ chuyên gia
Chuyên gia bảo mật Kevin Beaumont đã nhanh chóng lên tiếng chỉ trích động thái này. Ông nhấn mạnh: “Thật khó để ‘báo cáo có trách nhiệm’ các lỗ hổng trong tương lai khi bạn đã bị cấm cửa.” Beaumont chỉ ra một nghịch lý: Microsoft từng tuyển dụng những người đã từng công khai mã khai thác zero-day, thậm chí có người từng bị kết án về tội hack. Công ty cũng từng mua lỗ hổng từ các nhà môi giới.
“Nếu chiến thuật của Microsoft là hình sự hóa việc không tuân theo các khuôn khổ ‘tiết lộ có trách nhiệm’ vốn thường tùy tiện, thì họ sẽ khó bảo vệ điều đó trước tòa – bởi có cả một ‘đoàn xiếc’ các quyết định trước đây của chính Microsoft và những sự thật sẽ lộ ra trong quá trình tố tụng.” – Kevin Beaumont.
Beaumont cho rằng việc Microsoft đe dọa Nightmare Eclipse là một hành động thiếu nhất quán, đặc biệt khi chính công ty đã từng dung túng những hành vi tương tự từ các nhân viên của mình. Điều này đặt ra câu hỏi về tính minh bạch và công bằng trong chính sách an ninh của Microsoft.
Bài học về tiết lộ lỗ hổng
Vụ việc một lần nữa làm nóng cuộc tranh luận về “tiết lộ có trách nhiệm” (responsible disclosure) trong ngành bảo mật. Các nhà nghiên cứu thường phải đối mặt với áp lực từ các công ty công nghệ khi công bố lỗ hổng mà không thông qua kênh chính thức. Trong khi đó, các công ty như Microsoft lại có lịch sử mua và sử dụng các lỗ hổng từ bên ngoài – một thực tế khiến lập trường hiện tại của họ trở nên khó bảo vệ.
Dù chưa rõ Nightmare Eclipse sẽ đối mặt với hậu quả gì, nhưng rõ ràng Microsoft đang tạo ra một tiền lệ nguy hiểm: nếu một công ty có thể tùy tiện định nghĩa thế nào là “phối hợp đúng đắn” và đe dọa kiện tụng, thì các nhà nghiên cứu bảo mật độc lập sẽ ngày càng e dè khi phát hiện lỗ hổng. Điều này có thể gây tổn hại cho chính hệ sinh thái an ninh mạng mà Microsoft tuyên bố muốn bảo vệ.
Nguồn: The Verge - https://www.theverge.com/tech/940416/microsoft-nightmare-eclipse-zero-day-vulnerability






