Microsoftin ja Nightmare Eclipsen välinen selkkaus: Näin tietoturvayhteisön raivo pakotti perääntymään

Kolmesta kuudesta haavoittuvuudesta vahvistettiin nopeasti olevan aktiivisessa hyväksikäytössä: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091) ja UnDefend (CVE-2026-45498) . Yhdysvaltain kyberturvallisuusvirasto CISA lisäsi ne tunnettujen hyväksikäytettyjen haavoittuvuuksien luetteloonsa ja vaati liittovaltion virastoja asentamaan kiireelliset korjaukset . Microsoft korjasi BlueHammerin huhtikuun 14. päivän korjaustiistaissa ja julkaisi aikataulun ulkopuoliset korjaukset RedSunille ja UnDefendille 21. toukokuuta sen jälkeen, kun aktiivisista hyökkäyksistä oli raportoitu . Loput kolme – YellowKey (BitLockerin ohitus, CVE-2026-45585), GreenPlasma ja MiniPlasma – olivat yhä korjaamattomia kesäkuun 2026 alussa .

Tutkija väitti, että hänellä oli pitkä historia epätyydyttävästi hoidetuista haavoittuvuusilmoituksista Microsoftille. Nightmare Eclipse kertoi, että hänen aiempia virallisia kanavia pitkin lähettämiään raportteja oli laiminlyöty tai käsitelty huonosti, ja että luvattuja bugipalkkioita – joiden huhuttiin nousevan jopa 250 000 dollariin Hyper-V-haavoittuvuuksista – oli pidätetty . Microsoft puolestaan ilmoitti, ettei tutkija ollut raportoinut haavoittuvuuksia virallisia kanavia pitkin ennen niiden julkaisua .

Miten Microsoft kärjisti konfliktia

Tilanne kärjistyi dramaattisesti toukokuun viimeisellä viikolla. Noin 23. toukokuuta Nightmare Eclipsen GitHub-tili jäädytettiin. Pian tämän jälkeen, noin 26.–27. toukokuuta, hänet poistettiin myös GitLabista . Tutkija jatkoi toimintaansa henkilökohtaisen bloginsa kautta ja uhkasi "luita murskaavalla" lisäjulkaisulla hyväksikäyttökoodeja, joka oli määrä toteuttaa 14. heinäkuuta 2026 – eli seuraavana korjaustiistaina .

27. toukokuuta Microsoftin MSRC julkaisi blogikirjoituksen otsikolla "A Shared Responsibility: Protecting customers through Coordinated Vulnerability Disclosure" ("Yhteinen vastuu: Asiakkaiden suojaaminen koordinoidulla haavoittuvuuspaljastuksella") . Kirjoitus tuomitsi koordinoimattomat paljastukset todeten, että "koordinoimattomat paljastukset, jotka asettavat korjaamattomien haavoittuvuuksien PoC-koodia pahantekijöiden käsiin, eivät ole koskaan oikeutettuja ja niillä on todellisia seurauksia" .

Yksi tietty kohta blogissa laukaisi hälytyskellot koko tietoturvayhteisössä:

"Digitaalisten rikosten yksikkömme (Digital Crimes Unit) tulee jatkamaan oikeustapausten viemistä näitä toimijoita ja heidän rikollista toimintaansa mahdollistavia tahoja vastaan – koordinoiden tarvittaessa lainvalvontaviranomaisten kanssa ympäri maailmaa" .

Vaikka Microsoft ei suoraan nimennyt Nightmare Eclipseä, kirjoituksen konteksti – suora vastaus meneillään olevaan nollapäiväkampanjaan – sai monet tietoturvatutkijat tulkitsemaan sen nimenomaiseksi oikeudelliseksi uhkaukseksi tutkijaa vastaan .

Tietoturvayhteisö räjähtää

Reaktio oli nopea ja ylivoimaisen kielteinen. Tietoturvatutkijat, alan kommentaattorit ja suuret teknologiajulkaisut syyttivät Microsoftia pelottelutaktiikasta, joka voisi lamaannuttaa laillisen tietoturvatutkimuksen .

Useat mediatalot julkaisivat kriittistä uutisointia muutamassa päivässä. TechCrunchin otsikko julisti: "Microsoft tulilinjalla uhkailtuaan tietoturvatutkijaa rikostutkinnalla" . Windows Central raportoi tutkijan henkilökohtaisesta pelosta otsikolla "He tuhoavat elämäni" . The Register, Security Affairs, CSO Online ja jopa intialainen The Times of India uutisoivat vastareaktiosta kansainvälisesti huomioiden yhteisössä syntyneen "suuttumuksen" ja "metelin" .

Arvostelun keskeinen teema oli, että tutkijoiden mielestä Microsoftin oikeudellinen asenne murensi luottamusta koko koordinoituun paljastusprosessiin. Jos tutkijat pelkäisivät oikeudellisia kostotoimia, he saattaisivat lopettaa virheiden raportoinnin virallisia kanavia pitkin kokonaan . Useat kommentaattorit panivat merkille ironian siinä, että Microsoft uhkaili tutkijaa samalla, kun kolme kuudesta paljastetusta haavoittuvuudesta oli yhä korjaamatta .

Arvostettu tietoturva-asiantuntija Kevin Beaumont toi julkisesti esiin ongelmat Microsoftin toiminnassa ja kyseenalaisti yhtiön toimien suhteellisuuden . Yleinen mielipide kiteytyi siihen, että Microsoft oli itse laukaissut tilanteen eskalaation käsittelemällä tutkijan alkuperäisiä raportteja huonosti ja pahentanut ongelmaa oikeudellisella kalistelulla .

Perääntyminen 2. kesäkuuta

Microsoft muutti kurssiaan 2. kesäkuuta 2026. Yhtiö julisti sosiaalisen median alusta X:ssä julkaistussa, useiden medioiden raportoimassa lausunnossa: "Selventääksemme lähestymistapaamme oikeudellisiin asioihin, meillä ei ole aikomustakaan ryhtyä toimenpiteisiin henkilöitä vastaan, jotka tekevät tai julkaisevat tietoturvatutkimusta" .

Tämä lausunto oli suorassa ristiriidassa 27. toukokuun blogikirjoituksen Digital Crimes Unit -kielenkäytön kanssa. Microsoft yritti kehystää aiemman viestintänsä yleisenä kannanottona koordinoituihin paljastuskäytäntöihin eikä erityisenä uhkauksena Nightmare Eclipseä vastaan .

Saksalainen teknologiajulkaisu BornCity kuvasi tätä käännettä Microsoftin "peruutteluksi" sen jälkeen, kun MSRC:n viesti oli laukaissut valtavan somemyrskyn . Australialainen iTnews raportoi liikkeen tapahtuneen "sen jälkeen, kun tietoturvatutkijat ovat antaneet voimakasta palautetta" .

Mitä perääntyminen todella tarkoittaa

Microsoftin 2. kesäkuuta antamaa lausuntoa on parasta pitää vahingontorjuntatoimenpiteenä, ei varsinaisena politiikkamuutoksena. Microsoft ei sitoutunut muuttamaan odotuksiaan haavoittuvuuspaljastusten suhteen, eikä se käsitellyt tutkijan taustalla olevia väitteitä huonosti hoidetuista raporteista ja maksamattomista bugipalkkioista. Yhtiö perui oikeudellisen uhkauksensa säilyttäen silti kantansa, jonka mukaan koordinoimaton paljastaminen on vastuutonta .

Tutkijayhteisön reaktiot heijastelivat tätä skeptisyyttä. Monet pitivät täsmennystä taktisena perääntymisenä, jonka taustalla oli julkinen paine, eikä aitona sitoutumisena tutkijoiden oikeuksien suojelemiseen . YellowKeyn, GreenPlasman ja MiniPlasman ratkaisematon tilanne – kaikki yhä korjaamattomia – ruokki edelleen kritiikkiä siitä, että Microsoftin prioriteetit olivat väärät .

Tapaus paljasti syvät jännitteet haavoittuvuuspaljastusten normeissa. Koordinoitu paljastaminen perustuu luottamukseen: tutkijat raportoivat vioista yksityisesti, ja toimittajat korjaavat ne kohtuullisessa ajassa. Kun kumpi tahansa osapuoli kokee tämän sopimuksen rikkoutuneen – oli kyse sitten huomiotta jätetyistä raporteista, pidätetyistä palkkioista tai oikeudellisista uhkauksista – koko järjestelmä muuttuu hauraaksi. Kolme tekijää pakotti Microsoftin käden: yhteisön raivon määrä ja nopeus, tutkijan uhkaus vielä suuremmasta haavoittuvuusjulkistuksesta 14. heinäkuuta, sekä epämiellyttävä ristiriita, jossa yhtiö uhkasi oikeustoimilla samalla, kun sen omat korjaukset olivat yhä kesken.