Дослідник безпеки, відомий під псевдонімами Nightmare Eclipse або Chaotic Eclipse, має неоднозначну історію взаємодії з Microsoft. Нещодавно він привернув увагу, оприлюднивши інформацію про вразливість під назвою YellowKey, яка фактично надає несанкціонований доступ до зашифрованих даних BitLocker. За словами дослідника, Microsoft систематично ігнорує його звіти про значні недоліки в безпеці або виправляє їх без належного визнання та винагороди. Останньою краплею стало блокування його облікового запису на платформі GitHub, про що повідомляє видання Tom’s Hardware.
Конфлікт з Microsoft
Дії Microsoft, що призвели до блокування дослідника, можна частково пояснити його практикою публікації деталей про вразливості до того, як вони будуть виправлені. Nightmare Eclipse стверджує, що вдається до цього через постійне ігнорування його повідомлень з боку компанії. Через блокування на GitHub, дослідник був змушений перейти на платформу GitLab для подальшого розкриття інформації. Крім того, Microsoft видалила його обліковий запис, який використовувався для надсилання повідомлень про знайдені помилки. Дослідник детально описав свій конфлікт з розробником Windows у публікації у своєму блозі.
“Я хочу прояснити ситуацію: коли я намагався налагодити діалог, ви відмовляли, принижували мене та ображали перед іншими. Ви публічно висміяли мене у своєму повідомленні про CVE-2026-45585, хоча ви ж видалили обліковий запис Microsoft, через який я повідомляв про помилки. Я не отримав жодної компенсації, але все одно поводилися так, ніби я помилявся.
А тепер ви вирішили поскаржитися на мій обліковий запис на GitHub і заблокували його без пояснень? Ви доводите всім, що активно загострюєте цей конфлікт, але раніше ви вже благали мене про допомогу.
Можливо, я звучу як роздратований ідіот, але я маю докази кожної своєї заяви, які поки не можу оприлюднити. Чому? Microsoft досі тримає мене під контролем, і це триває роками. Я просто більше не можу мовчати. Сподіваюся, скоро зможу опублікувати всі документи.
Запам’ятайте цю дату – 14 липня. Я подбаю про те, щоб цього дня ваші проблеми стали ще серйознішими. У червні, можливо, нічого не станеться, або ж я випущу щось особливе, залежно від обставин”, – заявив Nightmare Eclipse.
Програма винагород та майбутні дії
Згадана дослідником винагорода мала б виплачуватися в рамках програми Microsoft Security Response Center (MSRC). Ця програма передбачає виплати від $30 000 до $100 000 за виявлення вразливостей нульового дня, а за успішний злам Hyper-V — до $250 000. Оскільки шість його попередніх знахідок були проігноровані або не оплачені, Eclipse обіцяє свою “помсту” 14 липня, яка, ймовірно, полягатиме в публікації нових, ще більш критичних вразливостей.
Критика програми MSRC
Проблеми з програмою MSRC також відзначають інші фахівці з безпеки. Деякі з них стверджують, що програма раніше функціонувала належним чином, але тепер Microsoft вдається до маніпуляцій, щоб уникнути виплат.
“Раніше співпраця з MSRC була чудовою. Але для економії коштів Microsoft звільнила кваліфікованих фахівців, залишивши лише тих, хто слідує чітким інструкціям. Я не здивуюся, якщо Microsoft відмовиться від розгляду справ після того, як дослідник відмовиться надати відеодоказ використання вразливості, оскільки це, очевидно, стала новою вимогою”, – коментує Вільям Дорманн з компанії Tharros.
Видання зазначає, що в епоху, коли штучний інтелект активно використовується як для пошуку вразливостей, так і для здійснення атак, 90-денний термін для виправлення помилок після їх розкриття є застарілим. Компанії повинні реагувати значно швидше. Microsoft наразі не надала офіційного коментаря щодо ситуації з Nightmare Eclipse, хоча й тихо ускладнила доступ до даних через YellowKey.
Читайте також: Модель ШІ від Anthropic допомогла зламати macOS
Вердикт ІТ-Блогу: Ситуація демонструє потенційні ризики для компаній, що нехтують програмами винагород за знахідки вразливостей та вчасно не виправляють критичні недоліки безпеки. Оновлення, що стосуються безпеки BitLocker, мають бути пріоритетними для всіх користувачів.
Подробиці можна знайти на сайті: mezha.ua