GitHub заблокировал исследователя безопасности за уязвимости Windows

Независимый исследователь безопасности Nightmare-Eclipse (псевдоним Chaotic Eclipse) сообщил о блокировке своего аккаунта на GitHub со стороны Microsoft. Причины санкций не уточняются, однако эксперт утверждает, что компания удалила его учетную запись в Microsoft, использовавшуюся для отправки отчетов об уязвимостях. Теперь он вынужден перенести свою работу на GitLab.

В своем блоге Eclipse обвиняет Microsoft в мести, подчеркивая, что компания не только отказалась от диалога, но и не выплатила обещанные вознаграждения за обнаруженные уязвимости. Программа Microsoft Security Response Center (MSRC) предусматривает выплаты до $250 000 за критические уязвимости, например, в Hyper-V. Однако исследователь утверждает, что не получил ни цента, несмотря на шесть опубликованных эксплойтов для Windows.

Ситуация осложняется тем, что часть уязвимостей, обнаруженных Eclipse, уже используется злоумышленниками. Среди них — BlueHammer (получение прав SYSTEM через Defender), RedSun, UnDefend (отключение Defender), GreenPlasma (эксплуатация CTFMon) и YellowKey (обход шифрования BitLocker). Эксперт угрожает опубликовать новые эксплойты 14 июля, называя это «расплатой» за действия Microsoft.

Другие специалисты по кибербезопасности, включая Уильяма Дорманна из Tharros, отмечают, что политика MSRC изменилась: компания стала требовать видеодоказательства эксплойтов, а квалифицированные сотрудники были уволены в рамках оптимизации. Это вызывает вопросы о прозрачности процесса раскрытия уязвимостей и эффективности взаимодействия с исследователями.

Блокировка аккаунта на GitHub вызвала критику в адрес Microsoft, так как подобные меры не решают проблему безопасности, а лишь усугубляют конфликт. В условиях, когда время между обнаружением уязвимости и ее эксплуатацией стремится к нулю, эксперты призывают компании пересмотреть подходы к взаимодействию с исследователями.