Microsoft under fire for threatening security researcher with criminal investigation

标题和作者

本文标题为《微软因威胁安全研究员进行刑事调查而陷入舆论风暴》。文中未明确署名单一作者，但报道主要基于 TechCrunch 的信息，详细阐述了微软与名为“Nightmare Eclipse”的安全研究员之间的冲突，揭示了大型科技公司对待漏洞披露的强硬态度及其引发的安全社区争议。

摘要

本文报道了微软针对安全研究员“Nightmare Eclipse”采取的法律威胁措施，该研究员公开披露了包括 BlueHammer、RedSun、UnDefend 和 YellowKey 在内的多个未修复漏洞及利用代码。此前，行业内已存在关于漏洞披露责任的长期争论，并建立了漏洞赏金制度，但微软认为此次披露未遵循“负责任的披露”原则，且利用代码的公开可能助长黑客攻击，CISA 也证实相关漏洞已被用于现实攻击。微软因此威胁启动刑事调查，并引用其数字犯罪部门 (DCU) 的职责进行威胁。本文详细记录了微软撤销研究员的 MSRC 账户权限、封禁其 GitHub 和 GitLab 账号等行为。本文的结论是，尽管微软试图通过强调现实威胁来正当化其行动，但社区反应强烈，认为此举破坏了信任。

此外，为了帮助读者理解本文背景，需要解释几个关键术语。零日漏洞是指软件制造商在漏洞被披露或被利用时仍不知晓的安全漏洞。漏洞赏金是指公司为研究人员报告私人发现的漏洞而提供的金钱奖励。协调披露是一种漏洞披露策略，旨在平衡漏洞修复时间与公众知情权，即研究员先私下通知厂商，在厂商修复后，再协调公开漏洞细节。MSRC 是 Microsoft Security Response Center 的缩写，即微软安全响应中心，是研究人员向微软报告漏洞的官方门户。DCU 是 Digital Crimes Unit 的缩写，即数字犯罪部门，微软通过该部门采取民事法律行动、技术反击措施、刑事举报及公私合作伙伴关系来保护客户安全。

主要主题和概念

主题一：负责任披露与协调披露的争议

• What（界定问题）：核心问题是安全研究员是否有义务在向公众公开漏洞前，先尝试向软件厂商私下报告以便修复，即是否必须遵循“负责任的披露”。
• Why（分析原因）：微软认为，未经过私下通知就直接公开漏洞和利用代码，实际上是在帮助恶意黑客，且阻碍了公司及时修复漏洞。而研究员“Nightmare Eclipse”声称，他们曾尝试联系微软但遭到不公对待（如账户被撤销），认为没有其他选择只能公开，这反映了沟通渠道不畅和信任缺失。
• How（解决问题）：微软通过发表博客文章批评研究员的行为，并利用其数字犯罪部门 (DCU) 威胁采取法律行动。研究员则通过在 GitHub 和 GitLab 等开源平台公开漏洞详情来反击。

主题二：法律威胁带来的寒蝉效应

• What（界定问题）：微软对研究员采取的刑事调查威胁和严厉措辞，可能会对未来的漏洞报告行为产生何种负面影响。
• Why（分析原因）：专家指出，威胁刑事调查会破坏安全研究员与科技公司之间的信任基础。一旦研究人员不再信任微软，他们可能会停止私下报告漏洞，转而采取更激进的公开手段，或者完全放弃报告，这会导致整个安全社区的防御能力下降。
• How（解决问题）：行业专家，如前微软员工 Katie Moussouris 和安全研究员 Kevin Beaumont，公开批评微软的立场是“过火”的，并警告这种做法会导致安全研究人员不再信任微软，从而产生“寒蝉效应”。

此外，本节涉及的术语解释如下：漏洞赏金 是指公司为研究人员发现并报告私人漏洞而提供的金钱奖励。协调披露 是一种平衡漏洞修复时间与公众知情权的策略，要求研究员先通知厂商，在厂商修复后协调公开。零日漏洞 指的是软件厂商在漏洞被披露或被利用时仍不知晓的安全漏洞。MSRC 即微软安全响应中心，是研究人员向微软报告漏洞的官方门户。

重要引文

论点一：微软认为该行为破坏了“负责任的披露”

• 论据：微软在其博客文章中指出，研究员“Nightmare Eclipse”没有尝试向公司报告漏洞以便修复，而是直接公开了漏洞细节和利用代码。
• 论证：微软认为这种做法违背了“负责任”的披露原则，因为提前公开漏洞细节和利用代码可能会被恶意黑客利用，从而对系统安全构成直接威胁。

论点二：公开漏洞已被证实用于现实世界的攻击

• 论据：微软引用美国网络安全机构 CISA 的说法，称该研究员披露的一些漏洞已经被黑客在实际攻击中使用。
• 论证：这一事实为微软的担忧提供了依据，证明漏洞信息的提前公开确实造成了安全风险，因此微软有理由采取强硬的法律手段来追究相关责任。

论点三：法律威胁具有破坏性，会导致信任危机

• 论据：安全研究员和专家 Katie Moussouris 表示，微软博客中提及的“数字犯罪部门” (DCU) 刑事威胁是“过火”的，并引用了“负责任的披露”这个概念作为首先 strike。
• 论证：Moussouris 认为，这种威胁只会导致安全研究人员不再信任微软，进而产生“寒蝉效应”，导致未来更少的人愿意向微软报告漏洞，最终让所有人都不安全。

本节涉及的术语解释如下：零日漏洞 指的是软件厂商在漏洞被披露或被利用时仍不知晓的安全漏洞。数字犯罪部门 (Digital Crimes Unit, DCU) 是微软的一个部门，其使命包括民事法律行动、技术反击措施、刑事举报及公私合作伙伴关系，旨在保护客户安全。协调披露 是一种平衡漏洞修复时间与公众知情权的策略，要求研究员先通知厂商，在厂商修复后协调公开。

总结

本文的核心冲突在于微软对漏洞披露责任的理解与安全研究员实际遭遇之间的巨大鸿沟。虽然微软通过引用 CISA 的报告，证明了公开漏洞确实被黑客用于现实攻击，从而正当化了其“负责任的披露”论点，但社区领袖和专家普遍认为微软的处理方式已越过底线。将漏洞利用代码的分享定义为“犯罪活动”并威胁刑事调查，不仅无法阻止黑客，反而会严重破坏信任。未来，如果微软继续坚持这种强硬的法律姿态，可能会导致安全研究社区对其产生抵触情绪，迫使研究人员采取更激进的公开方式，甚至完全停止私下报告，这将削弱整体网络安全防御体系，使所有用户面临更高的风险。