Pavojingas „Windows“ spragas atskleidęs tyrėjas buvo užblokuotas: dėl „Microsoft“ veiksmų kilo ginčas

Kritines ir dar neištaisytas „Windows“ saugumo spragas populiarioje programinės įrangos kūrimo platformoje viešinęs tyrėjas neteko prieigos prie savo „GitHub“ paskyros, o dėl šio sprendimo kilo diskusijos kibernetinio saugumo bendruomenėje. Tyrėjas teigia, kad „Microsoft“ ignoravo jo pranešimus apie pažeidžiamumus ir nesumokėjo dalies numatytų atlygių, tuo metu bendrovė kaltina jį nesilaikius atsakingo saugumo spragų atskleidimo principų.

Tyrėjas kaltina „Microsoft“ ignoravus perspėjimus

Pastaraisiais mėnesiais saugumo tyrėjas, prisistatantis „Nightmare-Eclipse“ vardu, viešai paskelbė informaciją apie kelias „Windows“ spragas, kurios, jo teigimu, leido apeiti tam tikras sistemos apsaugas arba suteikti padidintas prieigos teises. Dalį šių pažeidžiamumų jis viešino dar prieš pasirodant oficialiems pataisymams.

Po šių publikacijų jo paskyra buvo pašalinta iš „GitHub“, priklausančios pačiai „Microsoft“. Tačiau tyrėjas viešai tvirtina, kad bendrovė ilgą laiką ignoravo jo pateiktą informaciją apie aptiktas spragas, nesumokėjo dalies numatytų atlygių už praneštus pažeidžiamumus ir galiausiai nutraukė bendradarbiavimą.

Savo tinklaraštyje jis teigia, kad būtent dėl šių priežasčių nusprendė atsisakyti įprasto koordinuoto pažeidžiamumų atskleidimo proceso ir pradėjo informaciją skelbti viešai. Tyrėjo nuomone, tik toks spaudimas gali paskatinti bendroves greičiau reaguoti į saugumo problemas.

„Microsoft“: viešas spragų publikavimas kelia grėsmę vartotojams

Vis dėlto „Microsoft“ su tokia praktika nesutinka. Bendrovė teigia, kad apie aptiktas saugumo spragas pirmiausia reikėtų pranešti programinės įrangos kūrėjams ir suteikti jiems laiko parengti pataisymus.

Pasak „Microsoft“, viešai paskelbus informaciją apie neištaisytą pažeidžiamumą, ja gali pasinaudoti kibernetiniai nusikaltėliai. Dėl to vartotojai tampa pažeidžiami dar prieš išleidžiant apsaugos atnaujinimus.

Visgi tiesiogiai bendrovė ginčo su minėtu tyrėju nekomentavo.

TAIP PAT SKAITYKITE: Kibernetinis saugumas 2026 metais: ką iš tikrųjų turėtų žinoti kiekvienas

Kur baigiasi tyrimai ir prasideda atsakomybė?

Ši istorija išryškino seną diskusiją kibernetinio saugumo pasaulyje. Viena pusė teigia, kad technologijų bendrovės kartais pernelyg lėtai reaguoja į tyrėjų pranešimus, todėl viešumas tampa vieninteliu būdu atkreipti dėmesį į problemas.

Kita pusė pabrėžia, kad viešai paskelbta informacija apie neištaisytas spragas gali tapti įrankiu piktavaliams ir padidinti atakų mastą. Dėl šios priežasties dauguma didžiųjų technologijų bendrovių remia koordinuoto pažeidžiamumų atskleidimo modelį.

Nors ginčas atrodo susijęs tik su vienu tyrėju ir viena bendrove, jo pasekmės gali paliesti milijonus „Windows“ naudotojų. Nuo to, kaip efektyviai bendradarbiauja saugumo tyrėjai ir programinės įrangos kūrėjai, priklauso, kaip greitai aptinkamos ir ištaisomos spragos, kurias gali bandyti išnaudoti kibernetiniai nusikaltėliai.

Nepaisant ant „Microsoft“ krintančio šešėlio dėl pranešimų ignoravimo, bendrovė toliau stiprina vartotojų paskyrų apsaugą.

Apie tai plačiau: „Microsoft“ atsisako SMS kodų: milijonams „Windows“ vartotojų keisis prisijungimas prie paskyrų