Ein Vorfall rund um den Sicherheitsforscher, der unter den Pseudonymen Nightmare-Eclipse und Chaotic Eclipse bekannt ist, sorgt derzeit in der IT-Security-Community für erhebliche Diskussionen. Microsoft hat offenbar dafür gesorgt, dass der GitHub-Account des Forschers gesperrt wurde – und das, nachdem dieser mehrere ungepatchte Zero-Day-Schwachstellen in Windows öffentlich zugänglich gemacht hatte. Als Konsequenz zog der Betroffene zu GitLab um, dem wichtigsten alternativen Hosting-Dienst für Code-Repositories.
Hintergrund: Was sind Zero-Day-Exploits und warum sind sie heikel?
Als Zero-Day-Schwachstellen bezeichnet man Sicherheitslücken in Software, für die der Hersteller zum Zeitpunkt der Veröffentlichung noch keinen Patch bereitgestellt hat. Wenn ein Forscher solche Lücken öffentlich macht, ohne dem Hersteller ausreichend Zeit zur Behebung zu geben, spricht man von einem sogenannten Full Disclosure-Ansatz – im Gegensatz zur Responsible Disclosure, bei der Hersteller vorab informiert und Fristen eingeräumt werden. Der Fall Eclipse scheint genau in diesem ethisch und rechtlich umstrittenen Bereich zu liegen: Der Forscher soll seinen Microsoft-Account, über den er Schwachstellen gemeldet hatte, ebenfalls verloren haben, was die Kommunikation mit dem Konzern erheblich erschwert.
Vergeltung oder legitime Plattformpolitik?
Experten aus der Security-Szene bewerten die Sperrung als vindikative Maßnahme seitens Microsoft. Da GitHub seit der Übernahme durch Microsoft im Jahr 2018 für rund 7,5 Milliarden US-Dollar zum Konzernportfolio gehört, besitzt das Unternehmen faktisch die Möglichkeit, Accounts auf der weltweit größten Code-Plattform zu sperren – auch wenn die betroffenen Inhalte sicherheitsrelevanter Natur sind. Kritiker sehen darin eine gefährliche Vermischung von Plattformbetrieb und Unternehmensinteressen: Ein Hersteller, dessen Software mit Schwachstellen behaftet ist, kontrolliert gleichzeitig die Infrastruktur, über die Forscher solche Lücken kommunizieren.
Dieser Interessenkonflikt ist nicht neu. Bereits in der Vergangenheit gab es Fälle, in denen große Technologiekonzerne Druck auf Sicherheitsforscher ausübten, die unbequeme Wahrheiten über ihre Produkte veröffentlichten. Die Sperrung eines GitHub-Accounts trifft Forscher dabei besonders hart, da dort oft Jahre an öffentlicher Arbeit, Reputation und Netzwerk aufgebaut werden.
Auswirkungen auf die Security-Community
Der Vorfall wirft grundlegende Fragen über die Abhängigkeit der Open-Source- und Security-Community von einer Plattform auf, die einem der größten Softwarehersteller der Welt gehört. Alternativen wie GitLab, Codeberg oder selbstgehostete Lösungen gewinnen in solchen Situationen an Attraktivität. Für Windows-Nutzer bedeutet die Situation kurzfristig, dass ungepatchte Exploits im Umlauf sind – was das Risiko erhöht, dass diese von böswilligen Akteuren ausgenutzt werden, bevor Microsoft reagiert. Langfristig könnte der Fall dazu beitragen, die Diskussion über Bug-Bounty-Programme, faire Disclosure-Fristen und die Unabhängigkeit von Sicherheitsforschern neu zu entfachen. Die Security-Community beobachtet die weiteren Entwicklungen mit großer Aufmerksamkeit.
Quellen: Hacker News