Почему Microsoft обвинила Nightmare Eclipse в нарушении этики раскрытия уязвимостей?

Корпорация утверждает, что публикация эксплойтов до выпуска патчей создала угрозу для пользователей и нарушила принципы «ответственного раскрытия», так как часть уязвимостей уже использовалась злоумышленниками.

Как Nightmare Eclipse ответил на обвинения Microsoft?

Исследователь заявил, что пытался взаимодействовать с Microsoft через MSRC, но столкнулся с блокировкой доступа. Он обвинил вендора в игнорировании его попыток наладить диалог и был вынужден обнародовать данные.

← Все новости

Безопасность

Microsoft угрожает исследователю безопасности уголовным преследованием

29 мая 2026 г.

Фото: TechCrunch

Краткий ответ

Microsoft угрожает уголовным преследованием исследователю безопасности Nightmare Eclipse за публикацию неисправленных уязвимостей в Defender и BitLocker.

Независимый исследователь безопасности, известный под псевдонимом Nightmare Eclipse, опубликовал данные о ряде критических уязвимостей в продуктах Microsoft, включая встроенный антивирус Defender и инструмент шифрования дисков BitLocker. Среди обнаруженных проблем — эксплойты BlueHammer, RedSun, UnDefend и YellowKey, которые позволяли обходить защиту систем.

Компания отреагировала резкой критикой, обвинив исследователя в нарушении принципов «ответственного раскрытия» и создании угрозы для пользователей. В официальном блоге Microsoft утверждается, что часть уязвимостей уже была использована злоумышленниками в реальных атаках, а публикация эксплойтов до выпуска патчей могла способствовать этому. Корпорация также упомянула о возможности привлечения своего подразделения Digital Crimes Unit и правоохранительных органов для преследования подобных случаев.

Nightmare Eclipse, в свою очередь, заявил, что пытался взаимодействовать с Microsoft через портал Microsoft Security Response Center, но столкнулся с некорректным обращением, включая блокировку доступа. Исследователь подчеркнул, что вынужден был обнародовать данные после того, как вендор проигнорировал его попытки наладить диалог. Публикация кода эксплойтов на платформах GitHub* и GitLab привела к блокировке аккаунтов исследователя.

Инцидент вызвал бурную реакцию в сообществе кибербезопасности. Эксперты, включая бывших сотрудников Microsoft, обвинили компанию в чрезмерной агрессии и попытке запугать исследователей. Основатель Luta Security Кэти Муссорис, стоявшая у истоков программы bug bounty в Microsoft, назвала угрозы уголовного преследования «перебором», который подорвет доверие к вендору и снизит количество сообщений об уязвимостях.

Спор вновь поднял вопрос о балансе интересов: должны ли исследователи ждать исправлений от вендоров, рискуя безопасностью пользователей, или вендоры обязаны оперативно реагировать на сообщения об уязвимостях, не перекладывая ответственность на экспертов?

Частые вопросы

Какие уязвимости обнаружил Nightmare Eclipse в продуктах Microsoft?: Исследователь выявил критические уязвимости, включая эксплойты BlueHammer, RedSun, UnDefend и YellowKey, которые позволяли обходить защиту систем в Defender и BitLocker.
Почему Microsoft обвинила Nightmare Eclipse в нарушении этики раскрытия уязвимостей?: Корпорация утверждает, что публикация эксплойтов до выпуска патчей создала угрозу для пользователей и нарушила принципы «ответственного раскрытия», так как часть уязвимостей уже использовалась злоумышленниками.
Как Nightmare Eclipse ответил на обвинения Microsoft?: Исследователь заявил, что пытался взаимодействовать с Microsoft через MSRC, но столкнулся с блокировкой доступа. Он обвинил вендора в игнорировании его попыток наладить диалог и был вынужден обнародовать данные.
Какую реакцию вызвал инцидент в профессиональном сообществе?: Эксперты, включая бывших сотрудников Microsoft, обвинили компанию в чрезмерной агрессии и попытке запугать исследователей. Основатель Luta Security Кэти Муссорис назвала угрозы уголовного преследования «перебором».

Лента для Дзен: /feed/dzen.xml · RSS: /feed.xml