A Microsoft viu-se obrigada a recuar nas suas intenções de processar criminalmente um investigador de segurança independente, após uma onda de indignação por parte da comunidade global de cibersegurança. De acordo com os detalhes avançados pela Dark Reading, a polémica começou quando a empresa ameaçou o especialista responsável por divulgar publicamente várias vulnerabilidades zero-day nos seus sistemas durante as últimas semanas.
O investigador, conhecido pelos pseudónimos Chaotic-Eclipse ou Nightmare-Eclipse, iniciou a divulgação no início de abril com a publicação de um código de exploração no GitHub. O alvo foi uma falha de escalada de privilégios no Windows Defender, denominada BlueHammer. Na altura, o investigador garantiu que não estava a fazer bluff e que iria continuar a expor os problemas. Cumprindo a palavra, revelou mais falhas como a RedSun, Undefend, YellowKey, GreenPlasma e MiniPlasma, justificando a ação com a recusa da Microsoft em resolver os problemas reportados.
Reação da comunidade e recuo da empresa
A situação escalou quando a tecnológica publicou um comunicado a condenar estas divulgações não coordenadas, afirmando que a sua unidade de crimes digitais iria levar estes casos à justiça. A comunidade de segurança reagiu de imediato. Especialistas afirmaram que ameaçar investigadores é uma abordagem prejudicial, pois o silêncio sobre vulnerabilidades cria um risco muito maior para os utilizadores.
A ocultação de falhas permite que piratas informáticos as descubram e explorem de forma silenciosa, ou motiva os investigadores insatisfeitos a venderem as suas descobertas no mercado paralelo. Face às duras críticas de vários profissionais e grupos de análise de malware, que relataram as suas próprias más experiências com os processos de reporte da empresa, a gigante tecnológica emitiu uma nova declaração. Neste recuo, garantiu que não tem intenção de perseguir legalmente indivíduos que conduzem ou publicam investigação de segurança, focando as ações legais apenas em agentes maliciosos que causam danos reais aos clientes.
O impacto da inteligência artificial nas denúncias
Este conflito surge numa altura em que as equipas de resposta a incidentes enfrentam uma sobrecarga sem precedentes. A proliferação de modelos de inteligência artificial, impulsionada por sistemas avançados como o Mythos da Anthropic e o Daybreak da OpenAI, tem gerado uma enchente de relatórios de falhas com provas de conceito defeituosas criadas de forma automática.
Especialistas alertam que esta carga de trabalho está a causar um elevado nível de stress nos processos de triagem, dificultando a separação entre ameaças reais e falsos alarmes. O perigo para os utilizadores, no entanto, continua presente. O investigador Nightmare-Eclipse já informou que recebeu mais vulnerabilidades gratuitas de outros colegas e prometeu novas publicações. Numa mensagem enigmática, apontou o dia 14 de julho como a data para uma nova ação que promete abalar as estruturas da empresa.
Nenhum comentário
Seja o primeiro!