Вокруг Microsoft разгорается неприятная история: исследователь безопасности, известный под псевдонимами Nightmare Eclipse и Chaotic Eclipse, несколько недель публиковал уязвимости Windows после конфликта с Microsoft Security Response Center — подразделением, которое принимает отчёты о найденных дырах в продуктах компании. Теперь его аккаунт на GitHub заблокировали, а сам он, судя по сообщениям в соцсетях, перенёс активность на GitLab и личный блог.
Главная проблема в том, что речь не о теоретических ошибках. Исследователь выкладывал так называемые zero-day — уязвимости, для которых на момент публикации может не быть нормальной защиты или готового патча. В некоторых случаях вместе с описанием появлялся и proof of concept: демонстрационный код, который доказывает, что дыру действительно можно использовать. Для специалистов это способ подтвердить проблему, но для атакующих — почти инструкция, куда бить.
Самым громким примером стала уязвимость BlueHammer в Microsoft Defender. Она позволяла получить повышенные права в системе, а позже попала в каталог CISA как уже используемая в реальных атаках. То есть история быстро перестала быть просто спором «обиженного исследователя» с корпорацией: опубликованный код начал представлять риск для обычных пользователей Windows.
После блокировки на GitHub сторонники исследователя обвиняют Microsoft в попытке спрятать проблему вместо того, чтобы нормально исправлять уязвимости. Критики, наоборот, считают, что публичная выкладка рабочих эксплойтов бьёт не по корпорации, а по пользователям, которые остаются один на один с дырами в системе, пока патчи ещё не готовы.
Для игроков это тоже не совсем чужая тема. Windows, GitHub, Xbox, Game Pass и аккаунты Microsoft — части одной большой экосистемы, в которой у людей хранятся игры, сохранения, платежи и личные данные. Поэтому конфликт между исследователем и Microsoft важен не только для специалистов по безопасности: когда рабочие способы взлома Windows уходят в открытый доступ, последствия могут почувствовать все.
Как думаете, исследователь прав, если публикует уязвимости после конфликта с корпорацией, или такие вещи нельзя выкладывать открыто, пока пользователи остаются без защиты?