Microsoft раскритиковала публичное раскрытие уязвимостей нулевого дня, сразу после удаления аккаунта исследователя на GitHub. Это действие напрямую затрагивает обычных пользователей, так как задерживает исправление уязвимостей в повседневном программном обеспечении, таком как Windows или Office. Цифровая защита зависит от баланса между прозрачностью и корпоративным контролем.
Цена замалчивания исследователей 🔍
Когда компания удаляет аккаунт исследователя, сообщающего об ошибках, это создает сдерживающий эффект. Другие эксперты начинают сомневаться, прежде чем делиться критическими уязвимостями. Это затягивает сроки исправления, оставляя миллионы пользователей незащищенными. Без публичного доступа к информации патчи выходят дольше. Цикл обновления замедляется, и киберпреступники используют это окно возможностей. Безопасность не улучшается с меньшим количеством данных, а с большим сотрудничеством.
Патч, который так и не вышел (потому что убрали гонца) 🛡️
Похоже, Microsoft предпочитает убить гонца, чем прочитать сообщение. Если исследователь находит критическую ошибку в Office, лучше удалить его аккаунт на GitHub, а затем жаловаться, что люди об этом рассказывают. Так, вместо быстрого патча пользователи получают корпоративное заявление и надежду, что следующий нулевой день не опустошит их банковский счет. Хорошо, что безопасность превыше всего.