Microsoft heeft publiekelijk beloofd om ethische hackers die beveiligingslekken in haar online diensten vinden, niet te zullen vervolgen. Het hacken van web services is nog altijd een hekel punt en in de meeste landen strafbaar. Volgens de softwaregigant is dit hetzelfde als iemand die zegt dat je rits open staat en je daarmee een dienst doet. "Je moet ze dan ook bedanken in plaats van ze uit te schelden voor gluurder en de politie te roepen."

De voor velen verrassende uitspraak is afkomstig van beveiligingsstratege Katie Moussouris. Ze werkt aan een aanvulling op een standaard die in de maak is en ethische hackers die kwetsbaarheden op een verantwoorde wijze melden moet beschermen. "Haat niet de onderzoeker, haat het lek. We willen mensen niet ontmoedigen die ons proberen te helpen door ze in het ongewisse te laten of ze worden vervolgd of niet."

"We zijn duidelijk een groot doelwit," zo liet Moussouris toehoorders tijdens de ToorCon weten. "We hebben met veel problemen te maken waar veel vendors nog niet mee in aanraking zijn gekomen. Er zijn maar weinig vendors die het internet kunnen breken als ze hun patches niet op orde hebben."

De Nederlandse beveiligingsonderzoeker Ronald van den Heetkamp acht het mogelijk dat nu meer mensen Microsoft's diensten zullen proberen te hacken. Hij ziet echter ook een verandering bij de softwaregigant. "Ik had vorige maand nog SQL-injectie op het microsoft.com domein gevonden en ze gewaarschuwd. Het is netjes verholpen, wellicht hebben ze het licht gezien dat het helpt. Ik had het ook mijn blog kunnen zetten," zegt de onderzoeker tegen Security.NL.