هڪ سيڪيورٽي محقق کان پوءِ Microsoft پروڊڪٽس ۾ اڻ ڄاتل بگن جو هڪ سلسلو شايع ڪيو، ڪوڊ سان گڏ انهن جو استحصال ڪرڻ لاءِ، ڪمپني هاڻي ڌمڪيون ڏئي رهي آهي قانوني ڪارروائي ڪرڻ ۽ انهن تي پوليس کي سڏڻ. Microsoft جي پردي واري خطري هڪ ڊگهي هلندڙ دليل کي رد ڪري ٿو ته ڪهڙي ذميواري تي، جيڪڏهن ڪو به، سيڪيورٽي محققن کي ظاهر ڪرڻو پوندو ته انهن خطرن کي ظاهر ڪرڻو آهي جيڪي وڏي ۽ مالدار ٽيڪ ديو تي اثر انداز ڪن ٿا. اربع تي، Microsoft هڪ بلاگ پوسٽ شايع ڪئي محقق تي تنقيد ڪندي، جيڪو هلي ٿو "Nightmare Eclipse"، عوامي طور تي بگ جي هڪ سيريز کي ظاهر ڪرڻ لاء، جنهن ۾ BlueHammer، RedSun UnDefend، ۽ YellowKey شامل آهن. خاميون متاثر ٿيل پراڊڪٽس جهڙوڪ ونڊوز بلٽ ان اينٽي وائرس انجڻ ڊيفنڈر، ۽ ڊسڪ-انڪريپشن ٽول BitLocker.

اربع تي، Microsoft هڪ بلاگ پوسٽ شايع ڪئي محقق تي تنقيد ڪندي، جيڪو هلي ٿو "Nightmare Eclipse"، عوامي طور تي بگ جي هڪ سيريز کي ظاهر ڪرڻ لاء، جنهن ۾ BlueHammer، RedSun UnDefend، ۽ YellowKey شامل آهن. خاميون متاثر ٿيل پراڊڪٽس جهڙوڪ ونڊوز بلٽ ان اينٽي وائرس انجڻ ڊيفنڈر، ۽ ڊسڪ-انڪريپشن ٽول BitLocker.

Microsoft جي شڪايتن جو بنيادي مقصد اهو آهي ته محقق ڪيچ جي رپورٽ ڪرڻ جي ڪوشش نه ڪئي ته جيئن ڪمپني انهن کي درست ڪري سگهي. اهو "ذميدار" هوندو، جيئن Microsoft جو بلاگ اهو رکي ٿو. ڪمپني جي دليل جو ٻيو پاسو اهو آهي ته بگ جا تفصيل شايع ڪرڻ ۽ انهن کي پيچ ڪرڻ کان اڳ انهن جو استحصال ڪيئن ڪجي، Nightmare Eclipse شايد خراب هيڪرز جي مدد ڪئي هجي. Nightmare Eclipse جي ظاهر ڪيل ڪجهه ڪمزورين کي حقيقي دنيا جي حملن ۾ هيڪرز پاران استعمال ڪيو ويو آهي، Microsoft جي مطابق، انهي سان گڏ يو ايس سائبر سيڪيورٽي ايجنسي CISA.

"اسان جو ڊجيٽل ڏوهن يونٽ انهن اداڪارن ۽ انهن جي خلاف ڪيس آڻڻ جاري رکندو جيڪي انهن جي مجرمانه سرگرمي کي فعال ڪن ٿا - سڄي دنيا ۾ قانون لاڳو ڪندڙ ادارن سان همراه ڪرڻ،" Microsoft لکيو. (Microsoft جي ڊجيٽل ڪرائمز يونٽ جو مشن آهي ڪمپني کي مختلف حڪمت عملين ذريعي بچائڻ جو، جنهن ۾ ”سول قانوني ڪارناما، ٽيڪنيڪل جوابي قدم، فوجداري حوالا، ۽ پبلڪ پرائيويٽ پارٽنرشپ،“ ان جي ويب سائيٽ موجب.

گذريل ٻن هفتن ۾ شايع ٿيل بلاگز جي هڪ سيريز ۾ - بغير ڪيترن ئي مخصوص تفصيلن جي مهيا ڪرڻ کان سواءِ - Nightmare Eclipse Microsoft سان رابطي ۾ هجڻ جي دعويٰ ڪئي، پر ڪمپني مبينه طور تي انهن سان بدسلوڪي ڪئي، بشمول انهن جي Microsoft سيڪيورٽي رسپانس سينٽر اڪائونٽ تائين رسائي کي رد ڪرڻ، اهو پورٽل جتي محقق ٽيڪ ديو کي خطرات جي رپورٽ ڪري سگهن ٿا. Nightmare Eclipse جو مطلب اهو هو ته انهن وٽ عوامي طور تي ڪمزورين کي ڇڏڻ کان سواءِ ٻيو ڪو به آپشن نه هو، جنهن جو بنيادي مطلب اهو هو ته ان وقت اهي صفر ڏينهن هئا، سيڪيورٽي خامين لاءِ هڪ مخصوص اصطلاح جيڪو سافٽ ويئر ٺاهيندڙ کي اڻڄاتل آهي متاثر ٿيل وقت تي اهي ظاهر ڪيا ويا آهن يا استحصال ڪيو ويو آهي.

محققن اوپن سورس ريپوزٽريز GitHub (Microsoft جي ملڪيت) ۽ GitLab تي بگ شايع ڪيا. انهن پليٽ فارمن تي محققن جي اڪائونٽس تي پابندي لڳائي وئي آهي.

Nightmare Eclipse ۽ Microsoft تبصري جي درخواست جو جواب نه ڏنو.

هي عوامي اسپٽ هڪ ڊگهي هلندي ۽ اڃا تائين ڪجهه تڪراري بحث کي واپس آڻيندو آهي: ڇا آزاد سيڪيورٽي محققن جو فرض آهي ته اهو يقيني بڻائين ته اهي نقصان جيڪي انهن کي ڳولي رهيا آهن انهن کي طئي ڪيو وڃي؟ ۽ ، انهن کي ڪيتري حد تائين وڃڻو آهي انهي کي يقيني بڻائڻ لاءِ اهي ڪمپنيون جن جون شيون ڪمزور آهن اصل ۾ انهن کي درست ڪن؟

هن بحث جو هڪ حصو، جيڪو مڪمل طور تي آباد ڪيو ويو آهي ۽ وڏي پيماني تي تسليم ڪيو ويو آهي، اهو آهي ته محقق انهن جي ڪم لاء ادا ڪرڻ جا مستحق آهن. جيتوڻيڪ اهو انهن ڏينهن ۾ واضح ٿي سگهي ٿو، ان جدوجهد جا سال گذريا، 2009 ۾ شروع ڪيل مهم دوران حصو ورتو ويو جنهن کي "No More Free Bugs" سڏيو ويو. لڳ ڀڳ 20 سالن کان پوءِ، اڪثر ڪمپنيون ننڍيون ۽ وڏيون ”بگ باونٽي“ مالي انعام ادا ڪنديون آهن، جيڪي اڄ تائين ڇهن انگن يا ان کان وڌيڪ تحقيق ڪندڙن لاءِ هلائي سگهن ٿيون جيڪي پرائيويٽ طور تي بگ ظاهر ڪن ٿا ۽ انهن جي تفصيلن کي شايع ڪرڻ ۾ هم آهنگي ڪن ٿا هڪ ڀيرو بگ درست ٿي وڃن ٿا.

Nightmare Eclipse سان هن تازي تڪرار جي جواب ۾، بيشمار محققن پنهنجا خراب تجربا شيئر ڪيا آهن بگز رپورٽنگ Microsoft ڏانهن. اهو چوڻ مناسب آهي ته سائبر سيڪيورٽي ڪميونٽي جو گهڻو حصو لفظي طور تي ناخوش آهي ته Microsoft هن مسئلي کي ڪيئن سنڀالي رهيو آهي. ھن ۾ سائبر سيڪيورٽي جا اڳوڻا شامل آھن، جھڙوڪ لوٽا سيڪيورٽي جو باني ڪيٽي موسورس، جنھن 2000 جي وچ واري ڏھاڪي ۾ Microsoft تي ڪم ڪرڻ دوران بگ باؤنٽيز جي شروعات ڪئي، ۽ ٽيڪنالاجي ديو کي قائل ڪيو ته ”ذميوار ظاهر ڪرڻ“ جي تصور کان پري ھلڻ لاءِ پروسيس کي ”ڪوآرڊينيٽيڊ ڊسڪلوز“ جي طور تي فريم ڪندي.

"ذميوار" ظاهر ڪرڻ واري اصطلاح کي دعوت ڏيڻ منهنجي ڪتاب ۾ پهرين هڙتال هئي،" موسورس ٻڌايو TechCrunch، Microsoft جي بلاگ پوسٽ جو حوالو ڏيندي. "[ڊجيٽل ڪرائمز يونٽ] جو ذڪر ڪندي پراسيڪيوشن جو خطرو شامل ڪرڻ مٿاهون ٿي چڪو هو، ۽ صرف سيڪيورٽي محققن کي Microsoft تي بي اعتمادي جو نتيجو ٿيندو." Moussouris خبردار ڪيو ته سيڪيورٽي محققن جا نتيجا Microsoft تي ڀروسو وڃائڻ جي نتيجي ۾ ٿي سگهي ٿو گهٽ ماڻهن جي اڳيان اچڻ جو هڪ ٿلهو اثر، بگ رپورٽ ڪرڻ لاءِ، ”ان کي اسان سڀني لاءِ گهٽ محفوظ بڻايو وڃي.

سيڪيورٽي محقق ۽ اڳوڻو Microsoft ملازم Kevin Bueaumont پڻ Microsoft کي هڪ بلاگ پوسٽ ۾ سڏيو، ڪمپني جي پوزيشن کي بيان ڪندي "پنهنجي ٺاهيل ڊمپسٽر فائر."

"...تصور جو ثبوت استحصال جي تخليق ۽ تقسيم صفر ڏينهن لاءِ هاڻي 'جرائمي سرگرمي' آهي؟" Beaumont لکيو. "ذميوار ظاهر ڪرڻ اڪثر ڪري پراڊڪٽ جي مالڪ کي تحفظ ڏيڻ لاءِ تيار ڪيو ويندو آهي، نه ته گراهڪ - ان کي استعمال ڪندي ماڻهن کي مجرمانه طور تي مقدمو هلائڻ جي ڪوشش ڪرڻ هڪ نئين گهٽ آهي."