Microsoft enfrenta críticas por su manejo de los exploits de día cero. Alguien llamado Nightmare Eclipse ha estado peleando públicamente con la compañía, publicando un código de explotación de prueba de concepto. Algunas de sus publicaciones sugieren que es un ex empleado descontento. Pero lo que llamó la atención del investigador de seguridad cibernética Kevin Beaumont fue cómo respondió Microsoft.
Microsoft sugiere que planea presentar un caso penal contra Nightmare Eclipse por no seguir una “coordinación adecuada” al revelar vulnerabilidades. También desactivaron las cuentas de GitHub, GitLab y Microsoft Security Response Center de Nightmare Eclipse. Como señala Beaumont, «es bastante difícil informar ‘responsablemente’ sobre vulnerabilidades futuras cuando has sido baneado».
Lo que preocupa a Beaumont es que Microsoft ha contratado personas que han hecho exactamente las mismas cosas. Han contratado a personas que han publicado públicamente exploits de día cero, algunos con condenas por piratería informática en sus antecedentes. Microsoft también ha comprado exploits a intermediarios.
Si la táctica de Microsoft es tratar de criminalizar el no seguir marcos de “divulgación responsable”, a menudo arbitrarios, buena suerte defendiendo eso en los tribunales, porque hay todo un payaso sobre la toma de decisiones previa dentro de Microsoft y los hechos que surgirían en ese proceso.
