Google was altijd een groot voorstander van het op verantwoorde wijze melden van beveiligingslekken, maar als het om Microsoft gaat hanteert het een andere standaard, aldus de bekende beveiligingsonderzoeker Robert 'Rsnake' Hansen. Hij wijst op het nieuw ontdekte lek in Windows XP dat Google's Tavis Ormandy op zaterdag 5 juni aan Microsoft rapporteerde, dat op dezelfde dag antwoordde. Op 10 juni publiceerde de onderzoeker de advisory over de kwetsbaarheid. "Dat betekent dat Google Microsoft minder dan vijf dagen gaf om het het verhelpen", aldus Hansen. "Zelfs Mozilla is op een maximale tijd van 10 dagen teruggekomen, en zij draaien alleen een enkele software suite."

Volgens Hansen is het onredelijk om te verwachten dat Microsoft een lek binnen vier a vijf dagen patcht. Hij snapt dan ook niet dat Ormandy zo boos werd en vervolgens tot Full-disclosure overging. De onderzoeker werkte niet alleen, want hij bedankte ook andere beveiligingsonderzoekers binnen Google voor hun hulp. "Blijkbaar is het prima voor Google om tot Full-disclosure over te gaan, maar geldt dit niet voor andere onderzoekers. De hypocrisie is verbazingwekkend", zo laat een getergde Rsnake weten.

Hypocriet
Google zegt dat het voor het op verantwoorde wijze melden van lekken is, maar op hetzelfde moment geeft het Microsoft slechts vijf dagen de tijd om een zero-day lek te verhelpen dat juist door Google is ontdekt. In de eigen security filosofie zegt de zoekgigant dat het gebruik van responsible disclosure een standaard binnen de industrie is.

"Responsible disclosure is belangrijk voor de ecologie van het internet. Het laat bedrijven zoals Google beter onze gebruikers beschermen door lekken te verhelpen voordat die onder de aandacht van aanvallers komen. We raden iedereen die beveiligingsonderzoek doet zich aan responsible disclosure te houden. Ons Security team volgt dezelfde procedures als we beveiligingslekken aan andere bedrijven rapporteren."

Microsoft
Een ander punt van kritiek is het domein waar Ormandy zijn onofficiële patch plaatste, die niet eens blijkt te werken. Hansen merkt op dat 'lock.cmpxchg8b.com' dubieuzer klinkt dan veel malware sites. "Verwacht je werkelijk dat een miljard XP-gebruikers dat zullen downloaden en installeren?" Het hele incident is volgens Rsnake wel het bewijs dat Google zelf geen responsible disclosure meer hoeft te verwachten, aangezien ze het zelf ook niet volgen. "Zelfs als Microsoft lekken in Google vindt doen ze dat op verantwoorde wijze."

Ook bij Microsoft zijn ze niet gecharmeerd van de manier waarop Google te werk gaat. Beveiligingschef Roger Halbheer vraagt zichzelf af of Google het lek niet gebruikt om met Microsoft te concurreren. De Zwitser vergelijkt het met de concurrentie tussen banken, die nooit op het gebied van beveiliging concurreren. Geen enkele bank zal zeggen dat hij veiliger is dan zijn concurrent, of dat die net het slachtoffer van een phishingaanval is geworden. "De reden hiervoor is eenvoudig. Het gehele bancaire systeem is de dupe als vertrouwen in het ecosysteem afneemt, wat niet in het voordeel de banken is."