Beveiligingsonderzoeker ‘Nightmare Eclipse’ publiceerde onlangs een reeks ongepatchte kwetsbaarheden in Microsoft-producten. De onderzoeker maakte ook exploitcode openbaar. Microsoft dreigde met een rechtszaak en wilde de politie inschakelen.
De kwetsbaarheden kregen namen als BlueHammer, RedSun, UnDefend en YellowKey. Ze troffen producten zoals Windows Defender en BitLocker. Microsoft publiceerde een blogpost en bekritiseerde de onderzoeker. Volgens het bedrijf had de onderzoeker de bugs eerst moeten melden. Dat heet verantwoorde onthulling. Door de details direct openbaar te maken, hielp de onderzoeker mogelijk kwaadwillende hackers. Sommige kwetsbaarheden gebruikten aanvallers inmiddels in echte aanvallen. Zowel Microsoft als het Amerikaanse cybersecurityagentschap CISA bevestigen dit.
Nightmare Eclipse beweert dat er wel contact was met Microsoft. Het bedrijf behandelde de onderzoeker echter slecht. Zo trok Microsoft de toegang tot het Security Response Center in. Dat is het portaal voor het melden van kwetsbaarheden. De onderzoeker zag daarna geen andere keuze dan alles openbaar te maken. GitHub en GitLab blokkeerden vervolgens de accounts van de onderzoeker.
De zaak leidde tot veel reacties vanuit de beveiligingsgemeenschap. Talloze onderzoekers deelden hun slechte ervaringen met Microsoft. De controverse toont een breed probleem: grote techbedrijven behandelen beveiligingsonderzoekers niet altijd eerlijk.
