Microsoft trækker i land efter trusler mod sikkerhedsforsker – her er historien bag dramaet

Sådan optrappede Microsoft konflikten

Situationen spidsede dramatisk til i den sidste uge af maj. Omkring den 23. maj blev Nightmare Eclipses GitHub-konto suspenderet. Få dage senere, den 26.-27. maj, blev han også smidt af GitLab [10, 15]. Via sin personlige blog truede forskeren med et "knogleknusende" (bone shattering) datalæk af nye angrebskoder, timet til den 14. juli 2026 – næste Patch Tuesday [1, 3].

Den 27. maj publicerede Microsofts MSRC et blogindlæg med titlen "A Shared Responsibility: Protecting customers through Coordinated Vulnerability Disclosure" ("Et fælles ansvar: Beskyttelse af kunder gennem koordineret sårbarhedsoplysning") [7, 25]. Indlægget fordømte ukoordinerede offentliggørelser og kaldte dem "aldrig forsvarlige" med "virkelige konsekvenser", fordi de gav hackere konkrete værktøjer .

Én særlig passage skabte alarm i hele branchen:

"Vores Digital Crimes Unit vil fortsætte med at rejse sager mod disse aktører og dem, der muliggør deres kriminelle aktivitet – og om nødvendigt koordinere med retshåndhævende myndigheder verden over" [4, 19].

Selvom Microsoft ikke nævnte Nightmare Eclipse direkte ved navn, tolkede sikkerhedseksperter formuleringen som en målrettet, juridisk trussel mod den konkrete forsker. Microsoft havde jo netop publiceret indlægget som et direkte svar på den igangværende kampagne [19, 26].

Cybersikkerhedsverdenen raser

Reaktionen var øjeblikkelig og overvældende negativ. Sikkerhedsforskere, branchekommentatorer og store tech-medier anklagede Microsoft for at bruge intimidering til at skræmme legitim sikkerhedsforskning væk [3, 6, 9].

Adskillige medier bragte kritiske historier inden for få dage. TechCrunchs overskrift lød: "Microsoft under beskydning for at true sikkerhedsforsker med kriminel efterforskning" . Windows Central citerede forskerens frygt: "De vil ødelægge mit liv" . The Register, Security Affairs, CSO Online og selv The Times of India dækkede alle modstanden og noterede "forargelsen" og "oprøret" i cybersikkerhedskredse på verdensplan [9, 38].

Kernen i kritikken handlede om tillid. Mange forskere argumenterede for, at Microsofts juridiske trusler underminerede selve den koordinerede oplysningsproces. Hvis man som forsker risikerer sagsanlæg, kan man lige så godt holde op med at indberette fejl gennem de officielle kanaler, lød argumentet [3, 8]. Flere kommentatorer påpegede også ironien i, at Microsoft truede en forsker, mens tre af de seks offentliggjorte sårbarheder stadig var upatchede [1, 4].

Den kendte sikkerhedsforsker Kevin Beaumont kritiserede offentligt Microsofts håndtering og satte spørgsmålstegn ved proportionaliteten . Der opstod hurtigt en konsensus om, at Microsoft selv havde startet optrapningen ved at håndtere forskerens oprindelige indberetninger dårligt og derefter eskalerede problemet med sine juridiske trusler [8, 10].

Tilbagetoget den 2. juni

Den 2. juni 2026 slog Microsoft bak. I en erklæring på det sociale medie X, som blev rapporteret af mange medier, bekendtgjorde selskabet: "For at gøre det klart om vores juridiske tilgang, har vi ingen intentioner om at retsforfølge personer, der udfører eller offentliggør deres sikkerhedsforskning" [29, 33].

Udtalelsen stod i direkte modsætning til den truende sprogbrug om Digital Crimes Unit fra blogindlægget den 27. maj. Microsoft forsøgte nu at kategorisere den tidligere kommunikation som en generel holdning til koordineret oplysning, ikke som en specifik trussel mod Nightmare Eclipse [5, 6].

Den tyske techblog BornCity beskrev manøvren som, at Microsoft "ror lidt tilbage" efter den "shitstorm", MSRC-indlægget udløste . Branchemediet iTnews skrev, at trækket "kommer efter en stærk modreaktion fra sikkerhedsforskere" .

Hvad betyder retræten egentlig?

Erklæringen den 2. juni skal nok mest forstås som en skadeskontrol, ikke en egentlig politisk kovending. Microsoft forpligtede sig ikke til at ændre sine forventninger til sårbarhedsoplysning, og man adresserede heller ikke forskerens kernekritik: de angiveligt ignorerede indberetninger og de ubetalte dusører. Man trak truslen tilbage, men holdt fast i fortællingen om, at ukoordineret offentliggørelse er uansvarligt [5, 6].

Reaktionerne fra forskningsmiljøet afspejlede denne skepsis. Mange så "afklaringen" som en taktisk retræte, skabt af offentligt pres, mere end et oprigtigt forsøg på at beskytte rettighederne for sikkerhedsforskere [5, 6]. At YellowKey, GreenPlasma og MiniPlasma fortsat var upatchede i starten af juni, forstærkede kritikken af, at Microsofts prioriteter var helt skæve [1, 4].

Episoden blottede dybe spændinger i normerne for sårbarhedsoplysning. Hele systemet med koordineret oplysning hviler på gensidig tillid: Forskere indberetter huller i fortrolighed, og producenter retter dem inden for en rimelig tid. Når den ene part oplever kontraktbrud – hvad enten det er i form af ignorerede rapporter, tilbageholdte dusører eller juridiske trusler – bliver hele systemet skrøbeligt. Tre faktorer tvang Microsoft i knæ: Styrken og hastigheden i communityets vrede, forskerens trussel om et endnu større datalæk den 14. juli, og det ubekvemme faktum, at man truede med retssager, mens ens egne huller stadig stod pivåbne.