Nu hackers actief het ernstige beveiligingslek in Windows XP gebruiken, is er ook weer flinke kritiek op de Google-werknemer die de kwetsbaarheid naar buiten bracht. Volgens beveiligingsonderzoeker Tavis Ormandy was het lek in het Windows Help and Support Center een "persoonlijk project." Hij baalt dan ook dat zijn werk er bij betrokken is. "Niet leuk", schrijft Ormandy op Twitter. De onderzoeker waarschuwde Microsoft op 5 juni voor een lek in Windows XP en Server 2003, maar besloot vijf dagen later al tot Full-disclosure over te gaan. De informatie en exploit die hij daarbij verstrekte waren genoeg voor cybercriminelen om de aanval in het wild te gebruiken.

De website met de betreffende exploit is nu offline gehaald, toch betekent dat niet het einde van de kritiek op Ormandy, die onder andere "onverantwoordelijke" disclosure wordt verweten. "Ben je blij met jezelf?" laat Graham Cluley van Sophos weten. De virusbestrijder spreekt van volslagen onverantwoordelijk gedrag. "Dus mijn vraag aan Ormandy is als volgt - ben je trots op je eigen gedrag? Denk je dat je de veiligheid op het internet geholpen hebt? Of heb je je eigen ijdelheid voor de veiligheid van anderen geplaatst?"

Haatmail
Volgens Cluley had de Google-werknemer Microsoft meer tijd moeten geven. "Dat had een verantwoordelijke beveiligingsonderzoeker gedaan." Zelf zegt Ormandy een beetje moe te worden van alle haatmail die hij ontvangt over de vijf dagen die hij aan Microsoft zou hebben gegeven. "Die vijf dagen werden gebruikt om tot een patch binnen zestig dagen te komen."

Ormandy onderzoekt allerlei applicaties, waaronder ook Adobe Flash waar hij laatst negen kwetsbaarheden in aantrof. "Ik meld zoveel lekken, dat ik had gedacht het voordeel van de twijfel te krijgen. Maar ik heb mijn lesje geleerd", zo laat hij wederom op Twitter weten.