Theo TechCrunch, nhóm nhà nghiên cứu bảo mật có biệt danh Nightmare Eclipse gần đây đã công khai các lỗi bảo mật gồm BlueHammer, RedSun, UnDefend và YellowKey. Các lỗ hổng này ảnh hưởng đến công cụ chống virus tích hợp sẵn của Windows là Defender và công cụ mã hóa ổ đĩa BitLocker.

Trong bài đăng trên trang blog chính thức, Microsoft chỉ trích đích danh Nightmare Eclipse, đe dọa sẽ kiện và báo cảnh sát. Hãng phần mềm Mỹ cho rằng nhà nghiên cứu bảo mật này đã không cố gắng báo cáo các lỗi cho công ty để họ có thể sửa chữa chúng. Hãng lập luận việc công bố chi tiết các lỗi và cách khai thác trước khi được vá, Nightmare Eclipse có thể đã hỗ trợ các hacker. Theo Microsoft và cơ quan an ninh mạng CISA của Mỹ, một số lỗ hổng mà Nightmare Eclipse tiết lộ đã được các hacker sử dụng trong các cuộc tấn công thực tế sau đó.

"Đơn vị Chống tội phạm kỹ thuật số của chúng tôi sẽ tiếp tục khởi tố các vụ án chống lại những đối tượng này và những kẻ tiếp tay cho hoạt động tội phạm của chúng. Chúng tôi cũng phối hợp khi cần thiết với các cơ quan thực thi pháp luật trên toàn thế giới", bài đăng của Microsoft có đoạn. Theo trang web công ty, Đơn vị Chống tội phạm kỹ thuật số có nhiệm vụ bảo vệ công ty thông qua nhiều chiến lược khác nhau, bao gồm "các hành động pháp lý dân sự, các biện pháp đối phó kỹ thuật, chuyển giao cho cơ quan chức năng và hợp tác công tư".

Trong khi đó, loạt bài đăng trên blog chính thức của Nightmare Eclipse cho biết đã liên hệ với Microsoft nhưng cáo buộc công ty đã đối xử tệ, thậm chí thu hồi quyền truy cập vào tài khoản Microsoft Security Response Center. Đây là cổng thông tin nơi các nhà nghiên cứu có thể báo cáo các lỗ hổng cho gã khổng lồ công nghệ. Nightmare Eclipse ngụ ý rằng họ không còn lựa chọn nào khác ngoài việc công khai các lỗ hổng. Chúng sau đó được công bố trên các kho lưu trữ mã nguồn mở GitHub (thuộc sở hữu của Microsoft) và GitLab. Tài khoản của các nhà nghiên cứu trên các nền tảng này sau đó cũng bị cấm.

Sự việc giữa Microsoft và Nightmare Eclipse khơi lại những tranh luận kéo dài về trách nhiệm của các nhà nghiên cứu bảo mật. Họ có nhất thiết phải đảm bảo các lỗi được tìm thấy cần được khắc phục cũng như phối hợp đến mức nào với công ty có sản phẩm bị ảnh hưởng.

Trong các bài đăng của Nightmare Eclipse, nhiều nhà nghiên cứu cũng chia sẻ trải nghiệm tồi tệ khi báo cáo lỗi cho Microsoft. Cộng đồng an ninh mạng cũng lên tiếng sự không hài lòng về cách hãng phần mềm Mỹ xử lý vấn đề. Chuyên gia kỳ cựu trong ngành là Katie Moussouris, sáng lập Luta Security, người từng làm việc tại Microsoft những năm 2000 cho rằng công ty cần từ bỏ khái niệm "tiết lộ có trách nhiệm" và thay thế bằng "tiết lộ có sự phối hợp".

"Việc viện dẫn cụm từ 'tiết lộ có trách nhiệm' đã là điểm trừ đầu tiên trong mắt tôi" Moussouris nói với TechCrunch, đề cập đến bài đăng trên blog của Microsoft. "Việc thêm vào lời đe dọa truy tố là quá đáng, và chỉ khiến các nhà nghiên cứu bảo mật mất lòng tin vào Microsoft".

Moussouris cảnh báo rằng việc các nhà nghiên cứu bảo mật mất lòng tin vào Microsoft có thể dẫn đến hiệu ứng dây chuyền, khiến ít người hơn dám báo cáo lỗi và "làm cho hệ thống trở nên kém an toàn hơn cho tất cả người dùng"

Nhà nghiên cứu bảo mật, cựu nhân viên Microsoft, Kevin Beaumont, cũng chỉ trích Microsoft trong một bài đăng trên blog, mô tả lập trường của công ty là "một mớ hỗn độn do chính họ tạo ra". "Việc tạo và phát tán mã khai thác lỗ hổng bảo mật chưa được vá (zero day) giờ đây lại bị coi là 'hoạt động tội phạm' sao?" Beaumont viết. Ông cũng cho rằng tiết lộ thông tin một cách có trách nhiệm thường được hiểu là để bảo vệ chủ sở hữu sản phẩm, chứ không phải khách hàng.

Microsoft và Nightmare Eclipse hiện chưa đưa ra phản hồi về lập trường đôi bên.

Hoài Anh