Microsoft jest pierwszą dużą firmą, która obiecała, że nie będzie pozywała hakerów za ataki na jej online'owe serwisy. Pod warunkiem, oczywiście, że ataki będą miały na celu wykrycie istniejących luk, a nie zaszkodzenie samym serwerom.
Oświadczenie koncernu może oznaczać początek poważnej zmiany w kwestii podejścia do bezpieczeństwa w Sieci. Prawo większości krajów zezwala bowiem specjalistom na wyszukiwanie luk w oprogramowaniu, które zainstalowali na własnym komputerze, jednak wszelkie próby testowania zabezpieczeń witryn osób czy firm trzecich, są nielegalne i często surowo karane. Czasami dochodziło do tego, że osoba, która odkryła luki w zabezpieczeniach jakiegoś serwera i informowała o tym jego właściciela, stawała przed sądem.
Katie Mossouris, odpowiedzialna za strategie bezpieczeństwa w Microsofcie, zauważa jednak, że jeśli ktoś znajduje luki na firmowym serwerze i informuje o tym właściciela, to wyświadcza mu przysługę. I należą mu się "podziękowania, a nie wzywanie policji".
Microsoft nie ograniczy się jednak do obietnicy niepociągania tzw. etycznych hakerów do odpowiedzialności. Pani Mossouris proponuje, by do opracowywanego właśnie standardu ISO/IEC NP 29147 ( ma on zostać opublikowany przed końcem 2010 roku ), dodać odpowiednie zapisy chroniące hakerów, którzy o znalezionych lukach informują właściciela witryny czy serwisu internetowego.
Inicjatywę Microsoftu z radością powitali specjaliści. Alex Stamos, z firmy iSEC Partners, która specjalizuje się w testach penetracyjnych, stwierdził: "Specjaliści obawiają się znajdować luki w aplikacjach sieciowych, bo nigdy nie wiadomo, jak zareaguje firma, na której serwerach są one zainstalowane. To powoduje problemy, bo jedynymi ludźmi, którzy wyszukują te luki, są cyberprzestępcy".
