Microsoft ha criticato la divulgazione pubblica di falle di sicurezza zero-day, subito dopo aver eliminato l'account di un ricercatore su GitHub. Questa azione colpisce direttamente gli utenti comuni, poiché ritarda la correzione di vulnerabilità in software quotidiani come Windows o Office. La protezione digitale dipende da un equilibrio tra trasparenza e controllo aziendale.
Il costo di mettere a tacere i ricercatori 🔍
Quando un'azienda elimina l'account di un ricercatore che segnala falle, si genera un effetto deterrente. Altri esperti esitano prima di condividere vulnerabilità critiche. Questo allunga i tempi di correzione, lasciando esposti milioni di utenti. Senza accesso pubblico alle informazioni, le patch impiegano più tempo ad arrivare. Il ciclo di aggiornamento rallenta e i criminali informatici sfruttano la finestra di opportunità. La sicurezza non migliora con meno dati, ma con più collaborazione.
La patch che non è mai arrivata (perché hanno cancellato il messaggero) 🛡️
Sembra che Microsoft preferisca uccidere il messaggero piuttosto che leggere il messaggio. Se un ricercatore trova un errore critico in Office, meglio cancellare il suo account GitHub e poi lamentarsi che la gente lo racconta. Così, invece di una patch rapida, gli utenti ricevono un comunicato aziendale e la speranza che il prossimo zero-day non sia quello che svuota loro il conto in banca. Meno male che la sicurezza è al primo posto.