Microsoft в блоге раскритиковал исследователя под псевдонимом Nightmare Eclipse, заявив, что он нарушил процесс координированного раскрытия. В докладе перечислены баги BlueHammer, RedSun, UnDefend и YellowKey, затронувшие антивирус Defender и шифратор BitLocker. Компания считает, что публикация деталей до исправления могла спровоцировать кибератаки, подтвердившие агентство CISA.
Ответ Microsoft
В заявлении Digital Crimes Unit предупреждают о возможных судебных и уголовных мерах против исследователя и всех, кто использует уязвимости. По словам корпорации, исследователь не отправил информацию через портал Microsoft Security Response Center, а после блокировки доступа разместил её в открытых репозиториях GitHub и GitLab, где его аккаунты удалили.
Реакция сообщества
Кибербезопасники Katie Moussouris и Kevin Beaumont осудили подход Microsoft, указывая на риск «охлаждения» готовности исследователей сообщать о уязвимостях. По их мнению, более 20 лет отрасль работает по системе вознаграждений за баги, и угрозы уголовного преследования могут подорвать доверие к крупным технологическим компаниям.