Het op "verantwoorde" wijze melden van beveiligingslekken bij softwareontwikkelaars is tijdverspilling, aldus een Russische beveiligingsonderzoeker. Evgeny Legerov liet onlangs weten dat hij de komende maand verschillende zero-day kwetsbaarheden in veel gebruikte zakelijke software gaat onthullen, zoals Mysql, IBM DB2, Lotus Domino en Oracle. Lekken waar nog geen patch voor is, maar die de ontwikkelaar niet van tevoren te zien krijgt. "Na lang genoeg met leveranciers te hebben gewerkt, zijn we tot de conclusie gekomen dat het gewoon tijdverspilling is", zegt Legerov.

Als voorbeeld geeft de hacker een twee jaar oud lek in RealPlayer dat hij binnenkort zal publiceren. De kwetsbaarheid werd op verantwoorde wijze bij ontwikkelaar RealNetworks gemeld, maar die ondernam geen actie. De uitspraak van Legerov doet de discussie over 'responsible disclosure' weer opnieuw opwaaien. Sommige onderzoekers kiezen voor full-disclosure, het meteen openbaar maken van een kwetsbaarheid, omdat leveranciers dan gedwongen zijn een patch te ontwikkelen. Andere hackers vinden dat bedrijven de tijd moeten krijgen om een lek te dichten voordat men het publiek waarschuwt.

Onverantwoord
Legerov was de afgelopen jaren ook actief bij TippingPoint’s Zero-Day Initiative en Verisign’s iDefense Vulnerability Contributor Programma. Beide beloningsprogramma's betalen hackers voor het melden van kwetsbaarheden. Een goede onderzoeker zou makkelijk 3.500 tot 7.000 euro per maand kunnen verdienen met het verkopen van exploits aan één van de twee partijen, zo merkt Legerov op. Dit keer kiest hij toch voor full-disclosure, "omdat het mensen laat publiceren wat ze willen, zonder te worden gemodereerd." Gegeven het aantal bedrijven dat van de getroffen producten afhankelijk zijn, noemt McAfee's Dmitri Alperovitch de werkwijze van de hacker onverantwoord.