أثارت "مايكروسوفت" موجة واسعة من الجدل داخل مجتمع الأمن السيبراني بعدما هددت باتخاذ إجراءات قانونية ضد باحث أمني نشر تفاصيل ثغرات أمنية غير مُعالجة في منتجاتها، إلى جانب أكواد تتيح استغلالها.

وأعاد هذا التصعيد النقاش القديم حول مسؤولية الباحثين الأمنيين في الإبلاغ عن الثغرات التي يكتشفونها في أنظمة الشركات التقنية العملاقة.

وفي تدوينة نشرتها الأربعاء، انتقدت "مايكروسوفت" الباحث المعروف باسم "Nightmare Eclipse" بسبب كشفه العلني عن مجموعة من الثغرات الأمنية، من بينها BlueHammer وRedSun وUnDefend وYellowKey، والتي تؤثر على منتجات عدة، أبرزها برنامج الحماية المدمج في ويندوز Defender وأداة تشفير الأقراص BitLocker.

وترى "مايكروسوفت" أن الباحث لم يتبع ما تصفه بآلية الإفصاح المسؤول، إذ لم يحاول إبلاغ الشركة بالثغرات قبل نشرها لإتاحة الفرصة أمامها لمعالجتها.

كما اعتبرت أن نشر تفاصيل الاستغلال قبل إصدار التحديثات الأمنية قد يساعد جهات خبيثة على استغلال هذه الثغرات ضد المستخدمين، بحسب تقرير نشره موقع "تك كرانش" واطلعت عليه "العربية Business".

ووفقاً للشركة، فقد استُخدمت بعض الثغرات التي كشف عنها الباحث بالفعل في هجمات إلكترونية حقيقية، وهو ما أشارت إليه أيضاً وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA).

وقالت "مايكروسوفت" في بيانها إن وحدة الجرائم الرقمية التابعة لها ستواصل ملاحقة من وصفتهم بالجهات الضارة والأطراف التي تُمكّن أنشطتها الإجرامية، بالتنسيق مع أجهزة إنفاذ القانون حول العالم عند الحاجة.

وتتمثل مهمة هذه الوحدة في حماية الشركة عبر وسائل تشمل الدعاوى المدنية والإجراءات التقنية والإحالات الجنائية والشراكات بين القطاعين العام والخاص.

في المقابل، نشر الباحث خلال الأسابيع الماضية سلسلة من التدوينات أكد فيها أنه كان على تواصل مع "مايكروسوفت"، لكنه اتهم الشركة بإساءة التعامل معه، مشيراً إلى أنها ألغت إمكانية وصوله إلى حسابه في مركز الاستجابة الأمنية الخاص بها، وهو المنفذ الرسمي الذي يستخدمه الباحثون للإبلاغ عن الثغرات.

ووفقاً لروايته، فإن هذا الإجراء دفعه إلى نشر الثغرات علناً، ما جعلها تُصنف فعلياً ضمن فئة "اليوم الصفري" (Zero-Day)، وهي الثغرات التي لا يكون مطور البرمجيات على علم بها أو لم يصدر لها إصلاح أمني عند الكشف عنها أو استغلالها.

ونشر الباحث تفاصيل الثغرات عبر مستودعات مفتوحة المصدر على منصتي GitHub وGitLab، قبل أن يتم حظر حساباته على المنصتين لاحقاً.

ولم يصدر أي تعليق رسمي من الباحث أو "مايكروسوفت" رداً على طلبات وسائل الإعلام للتوضيح.

انتقادات واسعة من خبراء الأمن السيبراني

أعادت هذه المواجهة إلى الواجهة جدلاً مستمراً منذ سنوات حول حدود مسؤولية الباحثين الأمنيين المستقلين، وما إذا كان يتوجب عليهم ضمان إصلاح الثغرات التي يكتشفونها، أو إلى أي مدى ينبغي عليهم متابعة الشركات المالكة للبرمجيات للتأكد من معالجة تلك الثغرات.

ورغم أن قطاع الأمن السيبراني استقر منذ سنوات على مبدأ منح الباحثين مكافآت مالية مقابل اكتشاف الثغرات، وهو ما تجسد في برامج "Bug Bounty" المنتشرة حالياً، فإن الخلاف لا يزال قائماً بشأن آليات الإفصاح عن الثغرات وكيفية التعامل مع الباحثين.

وفي أعقاب الأزمة الأخيرة، شارك عدد كبير من الباحثين الأمنيين تجارب سلبية قالوا إنهم مروا بها أثناء الإبلاغ عن ثغرات لدى "مايكروسوفت"، ما عزز حالة الاستياء داخل مجتمع الأمن السيبراني تجاه طريقة تعامل الشركة مع القضية.

ومن أبرز المنتقدين، كاتي موسوريس، مؤسسة شركة Luta Security، والتي تُعد من رواد برامج مكافآت الثغرات خلال فترة عملها في "مايكروسوفت".

وقالت إن استخدام مصطلح "الإفصاح المسؤول" في بيان الشركة كان خطأً، مضيفة أن التلميح إلى إمكانية الملاحقة القانونية عبر الإشارة إلى وحدة الجرائم الرقمية سيؤدي إلى تآكل الثقة بين الباحثين والشركة.

وحذرت موسوريس من أن فقدان هذه الثقة قد يدفع عدداً أقل من الباحثين إلى الإبلاغ عن الثغرات مستقبلاً، ما ينعكس سلباً على أمن المستخدمين والأنظمة الرقمية بشكل عام.

كما انتقد الباحث الأمني والموظف السابق في "مايكروسوفت" كيفن بومونت موقف الشركة بشدة، واصفاً إياه بأنه أزمة صنعتها بنفسها.

وتساءل عما إذا كان إنشاء ونشر نماذج إثبات استغلال لثغرات "اليوم الصفري" أصبح يُعد نشاطاً إجرامياً، معتبراً أن مفهوم الإفصاح المسؤول كثيراً ما يُستخدم لحماية الشركات المالكة للمنتجات أكثر من حماية العملاء أنفسهم.

وتسلط هذه القضية الضوء على التوتر المتزايد بين شركات التكنولوجيا الكبرى والباحثين الأمنيين، في وقت تتزايد فيه أهمية التعاون بين الطرفين لمواجهة التهديدات الإلكترونية المتنامية وحماية المستخدمين حول العالم.