أثارت شركة Microsoft موجة واسعة من الجدل داخل مجتمع الأمن السيبراني، بعدما لوحت باتخاذ إجراءات قانونية ضد باحث أمني نشر تفاصيل عدد من الثغرات الأمنية غير المعالجة في بعض منتجاتها، إلى جانب أكواد تتيح استغلالها.
وأعادت هذه الأزمة إلى الواجهة النقاش المستمر منذ سنوات حول حدود مسؤولية الباحثين الأمنيين المستقلين، ومدى التزامهم بإبلاغ الشركات التقنية بالثغرات التي يكتشفونها قبل الإعلان عنها للعامة.
وكانت مايكروسوفت قد انتقدت الباحث المعروف باسم Nightmare Eclipse بعد كشفه عن مجموعة من الثغرات الأمنية، من بينها BlueHammer وRedSun وUnDefend وYellowKey، والتي تؤثر في عدد من منتجات الشركة، أبرزها برنامج الحماية Microsoft Defender وأداة تشفير الأقراص BitLocker.
وترى الشركة أن الباحث لم يلتزم بآلية “الإفصاح المسؤول”، إذ لم يمنحها الوقت الكافي لمعالجة الثغرات قبل نشر تفاصيلها بشكل علني، معتبرة أن الكشف المبكر عن طرق الاستغلال قد يفتح الباب أمام جهات خبيثة لاستهداف المستخدمين قبل توفير التحديثات الأمنية اللازمة.
ووفقًا لمايكروسوفت، فقد استُخدمت بعض الثغرات التي كشف عنها الباحث بالفعل في هجمات إلكترونية حقيقية، وهو ما أشارت إليه أيضًا Cybersecurity and Infrastructure Security Agency، وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية.
وأكدت الشركة أن وحدة الجرائم الرقمية التابعة لها ستواصل ملاحقة الجهات التي تسهم في تمكين الأنشطة الإلكترونية الضارة، بالتعاون مع جهات إنفاذ القانون حول العالم عند الضرورة.
رواية مختلفة من الباحث
في المقابل، أكد الباحث خلال سلسلة من التدوينات أنه كان على تواصل مع مايكروسوفت بشأن الثغرات المكتشفة، لكنه اتهم الشركة بسوء التعامل معه، مشيرًا إلى أنها أوقفت وصوله إلى حسابه في مركز الاستجابة الأمنية الخاص بالشركة، وهو المنفذ الرسمي الذي يستخدمه الباحثون للإبلاغ عن الثغرات الأمنية.
وبحسب روايته، فإن هذا القرار دفعه إلى نشر الثغرات علنًا، ما جعلها تندرج ضمن فئة “اليوم الصفري” أو Zero-Day، وهي الثغرات التي لا يتوفر لها إصلاح أمني وقت الكشف عنها.
وقام الباحث بنشر تفاصيل الثغرات عبر مستودعات مفتوحة المصدر على منصتي GitHub وGitLab، قبل أن يتم لاحقًا إغلاق حساباته على المنصتين.
انتقادات من خبراء الأمن السيبراني
ولم تمر الأزمة دون ردود فعل واسعة من خبراء الأمن السيبراني، الذين رأى بعضهم أن تهديد الباحثين بالإجراءات القانونية قد يضر بعلاقة الثقة بين الشركات والمجتمع الأمني.
ومن بين المنتقدين Katie Moussouris، التي اعتبرت أن استخدام مصطلح “الإفصاح المسؤول” في بيان مايكروسوفت كان مثيرًا للجدل، محذرة من أن الإشارة إلى الملاحقة القانونية قد تدفع بعض الباحثين إلى التردد في الإبلاغ عن الثغرات مستقبلًا.
وأضافت أن تراجع التعاون بين الباحثين والشركات قد يؤدي في النهاية إلى تقليل فرص اكتشاف الثغرات ومعالجتها قبل استغلالها من قبل المهاجمين.
كما انتقد الباحث الأمني والموظف السابق في مايكروسوفت Kevin Beaumont موقف الشركة، معتبرًا أن القضية تطرح تساؤلات مهمة حول الحدود الفاصلة بين البحث الأمني المشروع والنشاط الذي قد تعتبره الشركات تهديدًا لمصالحها.
أزمة تتجاوز مايكروسوفت
ويرى متخصصون أن القضية لا تتعلق بمايكروسوفت وحدها، بل تعكس تحديًا أوسع يواجه صناعة الأمن السيبراني بأكملها، يتمثل في كيفية تحقيق التوازن بين حماية المستخدمين ومنح الشركات الوقت الكافي لإصلاح الثغرات، وبين حق الباحثين في الكشف عن المخاطر الأمنية التي قد تؤثر على ملايين الأشخاص.
وفي ظل تصاعد التهديدات الإلكترونية عالميًا، تزداد الحاجة إلى بناء جسور ثقة وتعاون بين شركات التكنولوجيا والباحثين الأمنيين، باعتبارهما خط الدفاع الأول في مواجهة الهجمات السيبرانية المتطورة، خاصة مع تزايد الاعتماد على الخدمات الرقمية والذكاء الاصطناعي في مختلف القطاعات.