В профессиональном сообществе кибербезопасности разгорелась дискуссия после того, как известный специалист по информационной безопасности Уилл Дорманн публично раскритиковал процедуры Microsoft Security Response Center (MSRC) по обработке отчетов об уязвимостях. Причиной конфликта стало требование предоставить видеодемонстрацию эксплуатации уязвимости, несмотря на наличие подробного текстового описания и скриншотов.
Противоречия в процессе отчетности об уязвимостях
Ситуация развернулась после того, как Дорманн направил в MSRC детальный отчет о выявленной проблеме безопасности, сопроводив его необходимыми скриншотами. Однако представители Microsoft отказались рассматривать обращение без предоставления видео proof-of-concept (PoC). По словам эксперта, запрошенная видеодемонстрация фактически дублировала бы информацию, уже представленную в текстовом формате и скриншотах.
Реакция специалиста и демонстративный ответ
В ответ на требование MSRC Дорманн создал 15-минутный иронический видеоролик, намеренно включив в него избыточные элементы и потратив значительную часть времени на несущественные детали. Примечательно, что при попытке загрузить видео через официальный портал Microsoft произошла ошибка 403, что вынудило исследователя разместить материал на YouTube.
Системная проблема в индустрии
Эксперт отметил, что подобные требования о предоставлении видео встречаются и на других платформах bug bounty, включая HackerOne и Bugcrowd. По мнению Дорманна, такой подход свидетельствует о формальном следовании процедурам без глубокого анализа представленной информации. Особенно показательным стал случай с тремя связанными уязвимостями, где две потребовали видеодоказательств, а третья была отклонена без детального рассмотрения.
Официальная позиция Microsoft
В ответ на критику представители Microsoft выступили с официальным заявлением, подчеркнув, что запрос дополнительных доказательств не является обязательным требованием, а служит для обеспечения точной оценки уязвимости и определения потенциального вознаграждения. Однако это объяснение не снимает вопросов о целесообразности видеодемонстраций в случаях, когда текстовая документация является исчерпывающей.
Данная ситуация поднимает важные вопросы об эффективности существующих процессов обработки отчетов об уязвимостях и необходимости их оптимизации. Профессиональное сообщество призывает к более гибкому подходу при рассмотрении сообщений о проблемах безопасности, учитывающему компетенцию исследователей и качество предоставляемой документации.
