Verschillende beveiligingsexperts hebben kritiek geuit op de hype die rondom het Badlock-lek in Samba en Windows werd gecreëerd. Op 23 maart van dit jaar werd de kwetsbaarheid via een aparte website aangekondigd. De ontdekker van het beveiligingslek wilde systeembeheerders zo van tevoren waarschuwen als de update op 12 april zou verschijnen.

Afgelopen dinsdag verscheen de beveiligingsupdate, alsmede details. Een aanvaller kan via een man-in-the-middle-aanval Samba-verkeer onderscheppen om vervolgens een Active Directory-database aan te passen, waaronder wachtwoordhashes van gebruikers, of kan belangrijke diensten te kunnen uitschakelen. In het geval van Windowssystemen zou een aanvaller via een man-in-the-middle-aanval het authenticatieniveau van de SAM- LSAD-kanalen kunnen downgraden en zo een ingelogde gebruiker nabootsen.

Ondanks de waarschuwing beoordeelde Microsoft de kwetsbaarheid als 'belangrijk' en niet als ernstig, omdat een aanvaller alleen zijn rechten kan verhogen en geen willekeurige code kan uitvoeren. Ook volgens anti-virusbedrijf Trend Micro is er sprake van een hype en komt de kwetsbaarheid niet in de buurt van andere ernstige Windowslekken, zoals MS08-067, waar de beruchte Confickerworm gebruik van maakte.

Vanwege de aankondiging dachten veel beheerders dat de impact zeer groot zou zijn, zoals met de Heartbleed-bug het geval was, merkt Paul Ducklin van Sophos op. Iets wat niet zo blijkt te zijn. "Sinds Heartbleed waren de meeste van deze vooraf aangekondigde kwetsbaarheden niet een echt groot probleem. Ik zeg niet dat het om kwetsbaarheden gaat die geen datalek kunnen veroorzaken. Het grootste deel haalt echter de aandacht van veel ernstigere problemen weg en dat is een probleem", voegt Karl Sigler van Trustwave toe. Inmiddels hebben critici de website Sadlock.org gelanceerd waarin Badlock op de korrel wordt genomen.