Você já imaginou perder 14 minutos do seu tempo assistindo a um vídeo de um analista de segurança simplesmente digitando comandos no CMD? Parece bizarro, não é? Mas foi exatamente isso que aconteceu com um pesquisador que relatou uma vulnerabilidade para a Microsoft. A empresa exigiu um vídeo como prova, e o resultado foi hilário e, ao mesmo tempo, preocupante.
A exigência inusitada da Microsoft
Um renomado analista de vulnerabilidades enviou um relatório detalhado para o Centro de Resposta de Segurança da Microsoft (MSRC), com screenshots e descrições claras de um bug. A resposta? A Microsoft se recusou a analisar o relatório sem um vídeo complementar. A mensagem foi direta: “Como solicitado, por favor, forneça um vídeo claro mostrando como a vulnerabilidade é explorada? Não podemos prosseguir sem isso.”
Malicious Compliance: A resposta do analista
Frustado com a exigência da Microsoft – que considerou desnecessária, já que as screenshots mostravam tudo o que o vídeo demonstraria – o analista decidiu criar um vídeo, mas não de qualquer maneira. Ele praticou o que chamou de “malicious compliance”, ou obediência maliciosa. O vídeo resultante, de 15 minutos, inicia com uma imagem do filme Zoolander, e boa parte dele mostra apenas a tela do computador parada. Uma trilha sonora eletrônica acompanha todo o processo.
Mais do que uma piada: um problema de comunicação
A situação, além de engraçada, destaca um problema importante na comunicação entre pesquisadores de segurança e empresas de tecnologia. A exigência de um vídeo, que não adiciona valor à análise técnica, pode indicar falta de atenção ao conteúdo do relatório escrito. O analista expressou sua frustração, argumentando que a empresa deveria priorizar a análise do relatório em si, e não seguir processos burocráticos.
Ele relatou ter enviado três vulnerabilidades diferentes, duas exigindo vídeos (apesar da inutilidade) e uma rejeitada sem que o MSRC sequer lesse completamente sua descrição. Para ele, pesquisadores que se esforçam para reportar vulnerabilidades merecem mais respeito e atenção.
A expectativa e o futuro
O pesquisador espera uma resposta da Microsoft após o envio do vídeo. O caso levanta debates importantes sobre as melhores práticas em reportar vulnerabilidades. Será que empresas como a Microsoft deveriam rever seus processos, priorizando a clareza da informação e a experiência do pesquisador? A exigência de um vídeo, em muitos casos, pode ser um obstáculo desnecessário ao processo.
Será que essa experiência irá influenciar as políticas de outras empresas na área de segurança? O que você acha? Precisamos de mais vídeos demonstrativos em relatórios de vulnerabilidade ou seria melhor uma abordagem mais eficiente?
Deixe seu comentário abaixo, compartilhando suas experiências e opiniões!
Fonte: The Register
