Onderzoeker hekelt optreden Microsoft richting ontdekker van BitLocker-lek

In dit artikel:

De Britse beveiligingsonderzoeker Kevin Beaumont uit forse kritiek op Microsoft nadat het bedrijf een collega-onderzoeker publiekelijk aanviel wegens het openbaar maken van meerdere kwetsbaarheden in BitLocker en andere Windows-componenten. De afgelopen weken verschenen op internet exploits met namen als RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma en MiniPlasma; op het moment van publicatie waren er nog geen patches beschikbaar. Microsoft stelde in een blog dat deze meldingen niet 'verantwoord' waren gerapporteerd en suggereerde zelfs mogelijke strafrechtelijke stappen.

Beaumont zegt de handelswijze van de betrokken onderzoeker niet te steunen, maar vindt de reactie van Microsoft onterecht hard: het niet naleven van een door Microsoft voorgeschreven 'responsible disclosure'-procedure maakt iemand geen crimineel. Hij wijst erop dat de onderzoeker volgens eigen zeggen wel geprobeerd heeft Microsoft te waarschuwen, maar inmiddels is geblokkeerd op Microsofts GitHub en op het bedrijfspoortaal voor kwetsbaarheidsmeldingen — iets wat volgens Beaumont het verantwoord melden van toekomstige problemen bemoeilijkt.

Daarnaast bekritiseert Beaumont dat GitHub volgens hem al langer exploits voor concurrerende producten tolereert terwijl Microsoft-gerelateerde voorbeelden worden verwijderd. Hij stelt dat Microsoft zijn positie en relaties met justitie inzet om eigen producten te beschermen, wat volgens hem bedrijfsbelangen boven collectieve cyberveiligheid plaatst en een schadelijk precedent voor de beveiligingsgemeenschap vormt.