16,6 тыс подписчиков

Microsoft, похоже, решила сэкономить на выплатах багхантерам, но получила скандал, а возможно и кучу проблем в ближайшем будущем

3 дня назад3 дня назад

1 мин

Исследователь безопасности Nightmare‑Eclipse выложил информацию о ряде опасных уязвимостей Windows и заявил, что Майкрософт игнорировала его сообщения, когда он пытался передать ей информацию об этих уязвимостях за три месяца до публикации для получения вознаграждения по официальной программе багхантинга через службу MSRC. Вместо выплаты вознаграждения, Майкрософт заблокировала его аккаунты в GitHub и GitLab. В ответ на это Nightmare‑Eclipse пообещал новую «сокрушительную волну» публикаций 14 июля 2026 года, одновременно с этим исследователь заявляет, что у него есть «доказательства каждого слова», но их публикация якобы заблокирована, так как Microsoft «держит его на цепи». Ситуация осложняется тем, что Microsoft, по словам исследователя, удалила его MSRC‑аккаунт, который он использовал для отправки отчётов, что уничтожило и сами тикеты, и возможность сделать новые скриншоты, а также любые публичные записи этой коммуникации. Парадокс в том, что информацию об уязвимостях он выкладыва

Microsoft, похоже, решила сэкономить на выплатах багхантерам, но получила скандал, а возможно и кучу проблем в ближайшем будущем.

Вместо выплаты вознаграждения, Майкрософт заблокировала его аккаунты в GitHub и GitLab. В ответ на это Nightmare‑Eclipse пообещал новую «сокрушительную волну» публикаций 14 июля 2026 года, одновременно с этим исследователь заявляет, что у него есть «доказательства каждого слова», но их публикация якобы заблокирована, так как Microsoft «держит его на цепи». Ситуация осложняется тем, что Microsoft, по словам исследователя, удалила его MSRC‑аккаунт, который он использовал для отправки отчётов, что уничтожило и сами тикеты, и возможность сделать новые скриншоты, а также любые публичные записи этой коммуникации. Парадокс в том, что информацию об уязвимостях он выкладывать не боится, а вот в публикации доказательств того, что он передавал эту информацию Майкрософт он видит риски.

Такие представители сообщества «белых шапок», как Kevin Beaumont, который ранее работал в Microsoft, считают шаги по раскрытию вынужденной мерой при отсутствии реакции корпораций.

Microsoft в официальном блоге заявила, что детали уязвимостей до публикации компании не передавались, и пригрозила судебным преследованием. Однако до публикации уязвимостей, Microsoft уже выпустила патч для первой из них (BlueHammer, CVE‑2026‑33825), но исследователь продолжил публикации, выложив следом ещё пять эксплойтов: RedSun, UnDefend, YellowKey, GreenPlasma и MiniPlasma.

После заявления Microsoft другие специалисты по безопасности начали публично делиться похожими историями. Исследователи говорят о месяцах ожидания, закрытии отчётов как «не баг» или «не соответствует критериям» и «тихих» исправлениях без выплат.

Во всей этой истории довольно много «слепых зон», свет на которые вряд ли прольется, если действительно не будет судебного разбирательства с подъемом всех логов.

Одновременно с этой историей, ряд исследователей безопасности решил перестать отправлять информацию о багах в Apple также из-за проблем во взаимодействии с яблочным отделом безопасности.