Microsoft zegt geen plannen te hebben om juridische stappen te nemen tegen personen die beveiligingsonderzoek uitvoeren of publiceren, zo laat Microsoft via X weten. De afgelopen dagen ontstond er de nodige ophef na een blogposting van Microsoft, waarin het techbedrijf uithaalde naar een beveiligingsonderzoeker die verschillende kwetsbaarheden in Windows had geopenbaard, waaronder een lek in BitLocker. Updates voor deze problemen zijn nog niet beschikbaar.

De betreffende onderzoeker stelt dat hij Microsoft heeft ingelicht, terwijl het techbedrijf in de blogposting claimde dat het 'Coordinated Vulnerability Disclosure' proces niet was gevolgd. Hierbij wordt een softwareleverancier eerst ingelicht, zodat er updates kunnen worden ontwikkeld. Daarna kan de onderzoekers zijn bevindingen publiceren. Microsoft stelde dat de onderzoeker klanten in gevaar had gebracht en leek ook te hinten naar het strafrechtelijk vervolgen van de onderzoeker.

De blogposting zorgde voor kritiek van de Britse beveiligingsonderzoeker Kevin Beaumont. "Het niet volgen van een verzonnen 'responsible disclosure' proces is geen misdrijf", schreef Beaumont in een reactie. Volgens de Brit framen softwareleveranciers responsible disclosure als een manier om hun eigen producten te beschermen, niet de klanten. "Het gebruik ervan om mensen strafrechtelijk te vervolgen is een nieuw dieptepunt."

Op X laat Microsoft nu weten dat de relatie met beveiligingsonderzoekers belangrijk is en op momenten ook kwetsbaar. Ook kunnen er misverstanden optreden, aldus het techbedrijf. Dat schrijft ook dat het niet van plan is om juridische maatregelen te nemen tegen personen die beveiligingsonderzoek uitvoeren of publiceren. "Wanneer iemand de wet breekt en zich met kwaadaardige activiteiten bezighoudt die voor echte schade bij klanten zorgen, zullen we indien nodig met justitie samenwerken."