Bij het bekend worden van een lek in haar software roept Microsoft regelmatig dat security onderzoekers op een verantwoorde manier hiermee om moeten gaan. Wat de softwaregigant eigenlijk zegt is dat zij als eerste wil worden ingelicht, waarna de rest van het publiek pas na het verschijnen van een patch van de kwetsbaarheid mag weten.
Niet alleen zijn er onderzoekers die direct hun bevindingen bekend maken, zonder de aanbieder in kwestie in te lichten, het verkopen van lekken wordt ook steeds populairder. Nu kun je onderzoekers niet verwijten dat zij lekken vinden die door de ontwikkelaar zijn veroorzaakt.
Nu hebben onderzoekers natuurlijk ook hun eigen verantwoordelijkheid, de verleiding van het grote geld lonkt. Geld dat ook Microsoft kan bieden. Het bedrijf zegt al jaren dat de security van haar klanten de hoogste prioriteit heeft. Zou het dan niet zo moeten zijn dat men er alles voor over heeft om die klanten tegen onbekende security lekken te beschermen? Waarom heeft Microsoft geen geld over voor dit soort waardevolle informatie. Niet alleen bevordert dit verantwoordelijke "disclosure", het geeft Microsoft meteen de gelegenheid om actie te ondernemen. Onze stelling luidt derhalve: Microsoft moet onderzoekers betalen voor security lekken
Deze posting is gelocked. Reageren is niet meer mogelijk.