Konflikt pomiędzy gigantem z Redmond a niezależnym badaczem bezpieczeństwa kryjącym się pod pseudonimem Nightmare Eclipse przybiera na sile. Po fali publikacji dotyczących groźnych luk typu zero-day w systemie Windows, konto badacza na platformie GitHub zostało całkowicie zawieszone, a powiązane z nim repozytoria kodu usunięte. Wygląda na to, iż tytułowe przedsiębiorstwo wyszło z założenia, że co z oczu, to z serca, niemniej Nightmare Eclipse ewidentnie nie jest zadowolony z takiego obrotu spraw. Rzeczony ekspert, który przeniósł już swoją działalność na platformę GitLab, nie zamierza jednak milczeć i wystosował wobec Microsoftu bezpośrednie ultimatum, wyznaczając datę 14 lipca na dzień „skruszenia kości” korporacji.
Microsoft zbanował badacza, który za darmo pomagał wykryć luki w Windowsie 11
Wszystko zaczęło się od niespodziewanego zablokowania konta Nightmare Eclipse oraz wszystkich jego publicznych projektów na należącej do Microsoftu platformie GitHub. W odpowiedzi badacz natyczmiast założył nowy profil w konkurencyjnym serwisie GitLab i opublikował niezwykle emocjonalne oświadczenie skierowane bezpośrednio do giganta technologicznego.
W tekście opublikowanym na swoim blogu zarzucił on Microsoftowi hipokryzję, brak woli dialogu oraz celowe upokarzanie go na forum publicznym. Według relacji badacza ds. cyberbezpieczeństwa korporacja najpierw zablokowała i całkowicie usunęła jego konto w portalu MSRC (Microsoft Security Response Center), za pośrednictwem którego zgłaszał błędy całkowicie charytatywnie, a kierownictwo zespołu MSRC ignorowało wszelkie prośby o wyjaśnienie sytuacji. Na tym jednak Microsoft nie poprzestał, a chwilę później skasowany został także należący do Nightmare Eclipse profil na GitHubie.
Z relacji wynika, iż główną osią sporu stał się oficjalny komunikat Microsoftu dotyczący podatności CVE-2026-45585, znanej powszechnie w świecie IT jako YellowKey. W swoim biuletynie bezpieczeństwa korporacja stwierdziła, że badacz opublikował działający kod exploita z rażącym naruszeniem zasad skoordynowanego ujawniania podatności. Ten zaś, jak nietrudno się domyślić, nie zgadza się z tym oskarżeniem.
Twierdzenie, że naruszyłem najlepsze praktyki dotyczące CVD, stanowi zniesławienie mojej osoby. Już wcześniej zapowiedziałeś, że będziesz mnie oczerniał, a publiczne wygłaszanie takich oświadczeń nie przyczyni się do rozwiązania tego konfliktu. Celowo cofnęliście mi dostęp do konta MSRC, z którego korzystałem do zgłaszania wam luk w zabezpieczeniach, a kiedy poprosiłem o wyjaśnienia, całkowicie usunęliście to konto, mimo moich wielokrotnych próśb o wyjaśnienie. Żadna z tych próśb nie spotkała się z odpowiedzią ze strony kierownictwa MSRC.
Co ciekawe, Nightmare Eclipse twierdzi, że ma niezbite dowody na poparcie każdego swojego słowa, jednak obecnie nie może ich upublicznić, ponieważ Microsoft od lat „trzyma go na łańcuchu”. Mimo to badacz oświadczył, iż nie zamierza dłużej błagać korporacji o rozmowę, w związku z czym wyznaczył konkretny termin na realizację swojej zemsty. Ostrzegł, że w czerwcu prawdopodobnie zachowa spokój, ale nakazał wszystkim zapisać w kalendarzach datę 14 lipca. To właśnie wtedy, według jego gróźb, ma dojść do ujawnienia kompromitujących dokumentów, które mają ugodzić w reputację giganta z Redmond.
Więc wyjaśnijmy to sobie: kiedy aktywnie prosiłem o kontakt, odmówiliście, upokorzyliście mnie i zadbaliście o to, by obrazić mnie przy innych ludziach. Zniesławiacie mnie publicznie swoim komunikatem dotyczącym luki CVE-2026-45585, mimo że dosłownie usunęliście konto Microsoft, z którego zgłaszałem błędy, a ja nie dostałem za to ani grosza, a mimo to robiłem to z radością jak jakiś idiota. Teraz łaskawie zgłaszacie moje konto na GitHubie i usuwacie je z publicznego dostępu, tak po prostu? Udowadniacie wszystkim, że aktywnie eskalujecie ten konflikt, ale mam już dość błagania. Może brzmię jak szalony idiota, który się wygłupia, ale mam dowody na każde słowo, które wypowiedziałem, po prostu nie mogę ich jeszcze ujawnić. Dlaczego? Microsoft wciąż trzyma mnie w ryzach, tak jest od lat i po prostu nie mogę już dłużej milczeć. Mam nadzieję, że wkrótce będę mógł opublikować te dokumenty. Zapamiętajcie datę 14 lipca, tego dnia dopilnuję, by wasze kości zostały zmiażdżone. W czerwcu nic nie zostanie opublikowane (a może coś opublikuję, w zależności od okoliczności).
Jakie fakty wypłyną na jaw w wyniku tego konfliktu – zgodnie ze złożoną przez Nightmare Eclipse prawdopodobnie dowiemy się w połowie lipca.
0 komentarzy