Microsoft, sıfır gün istismarlarıyla ilgili yönetimi nedeniyle eleştirilerle karşılaşıyor. Nightmare Eclipse adıyla bilinen bir kişi, şirketle açık bir tartışma yürütüyor ve kanıt niteliğinde istismar kodları paylaşıyor. Paylaşımlarından bazıları, bu kişinin hoşnutsuz bir eski çalışan olabileceğini gösteriyor. Ancak siber güvenlik araştırmacısı Kevin Beaumont için dikkat çekici olan Microsoft’un verdiği tepkiler.
Microsoft, Nightmare Eclipse hakkında açıklık getirmeden “uygun koordinasyon” kurallarına uymadığı gerekçesiyle ceza davası açmayı planladığını belirtti. Ayrıca, Nightmare Eclipse’in GitHub, GitLab ve Microsoft Güvenlik Yanıt Merkezi hesaplarını devre dışı bıraktı. Beaumont’un dikkat çektiği gibi, “Bırakın gelecekteki zafiyetleri ‘sorumlu bir şekilde’ rapor etmeyi, banlandığınızda bunu yapmak oldukça zor.” şeklinde ifade etti.
Beaumont’u düşündüren bir başka nokta ise Microsoft’un daha önce benzer davranışlarda bulunan kişileri işe almış olması. Şirket, kamuya açık sıfır gün istismarları paylaşan ve bazıları suç kaydı bulunan kişileri istihdam ediyor. Ayrıca, Microsoft, aracı kuruluşlardan istismarlar satın aldı.
“Microsoft’un stratejisi, çoğu zaman keyfi olan ‘sorumlu açıklama’ çerçevelerine uymayanları ceza yasası kapsamında suçlu hale getirmeye çalışmaksa, bunu mahkemede savunmak oldukça zor olacak.”
