Microsoft не доплатила хакеру и он выложил код новой уязвимости Windows в Сеть
Практически все крупные компании сотрудничают с хакерами. Но эти люди предпочитают себя называть «исследователями безопасности», что в полной мере отображает суть их работы. Они анализируют программный код, логику работы приложений и операционных систем, и представляют обнаруженные уязвимости разработчикам, получая за каждую из них оплату пропорционально потенциальной опасности. Вслед за этим штатные программисты выпускают патч, решающий проблему.
Подобная схема существует и в Microsoft, где работает программа Bug Bounty. С компанией на ниве поиска уязвимостей сотрудничают многие. Но в последнее время «исследователи безопасности» начали замечать, что выплаты стали гораздо более скромными. Это не говорит о том, что они стали работать хуже или то, что уязвимостей стало меньше, просто софтверный гигант решил, что эта работа требует меньшего вознаграждения. Пока все думали об одном и том же, один из «исследователей» нашел способ примерно наказать начавшую скупиться компанию.
Речь идет об Абдельхамиде Насери, который нашел «дыру», позволяющую пользователю Windows сравнительно легко получить права администратора на локальном компьютере. Уязвимость работает на всех версиях Windows, включая 11 версию. Далее, программист разместил созданный им эксплойт на открытом депозитарии Github. При этом сама компания узнала об этом далеко не самой первой, что нарушает некое неписанное правило, согласно которому «исследователи» всегда извещают разработчиков об уязвимостях, еще не имеющих решения.
Уязвимость Насери была протестирована. Эксперты подтвердили, что это не фейк, а вполне серьезная опасность для огромного числа компьютеров по всему миру. Естественно, к хакеру появилось немало вопросов, а гневу боссов из Microsoft нет предела. Однако, «исследователь» честно рассказал о мотивах своего поступка. Они очень просты. Насери признался, что никогда бы не допустил такой утечки, если бы был уверен в получении достойного вознаграждения за свой труд. Можно относиться к его личности по-разному, но есть мнение, что хакер в одном прав – скупой платит дважды!
Сам хакер высказал свои рекомендации. Он советует не искать решения проблемы самостоятельно. Для этого есть целая команда инженеров, исправно получающих зарплату. По его мнению, нужно дождаться выхода патча. А вот в том, что он будет бездарным, хакер не сомневается.