Microsoft відступив після бунту спільноти: як юридичні погрози досліднику Nightmare Eclipse обернулися репутаційним провалом

Три з шести вразливостей швидко опинилися в активній експлуатації зловмисниками: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091) та UnDefend (CVE-2026-45498) . Американське агентство CISA додало їх до свого каталогу відомих експлуатованих вразливостей, зобов'язавши федеральні установи застосувати екстрені патчі . Microsoft виправила BlueHammer у «Вівторок патчів» 14 квітня, а позачергові виправлення для RedSun та UnDefend випустила 21 травня після повідомлень про активні атаки . Три інші — YellowKey (вразливість обходу BitLocker, CVE-2026-45585), GreenPlasma та MiniPlasma — станом на початок червня залишалися невиправленими .

Дослідник заявляв про давні образи на те, як Microsoft поводиться з вразливостями. Nightmare Eclipse стверджував, що його попередні звіти, надіслані через офіційні канали, були проігноровані або оброблені неналежним чином, а виплати за програмами винагороди за помилки (bug bounty) — зокрема, до $250 000 за експлойти для Hyper-V — були затримані . Microsoft, зі свого боку, заперечила це, заявивши, що дослідник взагалі не повідомляв про вразливості офіційними каналами до публікації .

Ескалація з боку Microsoft

Ситуація різко загострилася в останній тиждень травня. Близько 23 травня обліковий запис Nightmare Eclipse на GitHub було заблоковано. Згодом, орієнтовно 26–27 травня, дослідника забанили і на GitLab . Працюючи вже з особистого блогу, дослідник пригрозив «нищівним» витоком нових експлойтів, запланованим на 14 липня 2026 року — день наступного «Вівторка патчів» .

27 травня MSRC опублікував допис у блозі під назвою «Спільна відповідальність: захист клієнтів через скоординоване розкриття вразливостей» ("A Shared Responsibility: Protecting customers through Coordinated Vulnerability Disclosure") . У дописі засуджувалися нескоординовані розкриття та наголошувалося, що «публікація коду підтвердження концепції для невиправлених вразливостей, яка віддає його до рук зловмисників, ніколи не може бути виправдана і має реальні наслідки» .

Особливу тривогу в середовищі спеціалістів з безпеки викликав конкретний абзац:

«Наш підрозділ цифрових злочинів (Digital Crimes Unit, DCU) продовжить порушувати справи проти таких осіб та тих, хто сприяє їхній злочинній діяльності, координуючи дії за потреби з правоохоронними органами по всьому світу» .

Хоча Microsoft прямо не назвала Nightmare Eclipse, контекст допису — безпосередня реакція на кампанію з публікації нульових днів — змусив багатьох сприйняти це як конкретну юридичну загрозу на адресу дослідника .

Кіберспільнота вибухає обуренням

Реакція була миттєвою і вкрай негативною. Дослідники безпеки, галузеві коментатори та провідні технологічні видання звинуватили Microsoft у тактиці залякування, яка може мати охолоджуючий ефект на легітимні дослідження вразливостей .

Протягом лічених днів вийшла низка критичних публікацій. TechCrunch вийшов із заголовком «Microsoft під вогнем критики за погрози досліднику безпеки кримінальним розслідуванням» . Windows Central процитував особистий страх дослідника: «Вони зруйнують моє життя» . The Register, Security Affairs, CSO Online та інші світові видання висвітлили «обурення» та «хвилю протесту» в кіберспільноті .

Головний лейтмотив критики полягав у тому, що юридична позиція Microsoft підриває довіру до самого процесу скоординованого розкриття. Якщо дослідники боятимуться правових наслідків, вони можуть взагалі припинити повідомляти про помилки через офіційні канали . Кілька коментаторів відзначили іронію ситуації: Microsoft погрожувала досліднику, тоді як три з шести оприлюднених ним вразливостей залишалися невиправленими .

Дослідник безпеки Кевін Бомонт публічно привернув увагу до того, як Microsoft поводиться в цій ситуації, поставивши під сумнів пропорційність реакції компанії . Сформувався консенсус, що Microsoft сама спровокувала ескалацію, неналежним чином обробивши початкові звіти дослідника, а потім погіршила ситуацію брязканням юридичною зброєю .

Відступ 2 червня

2 червня 2026 року Microsoft змінила курс. У заяві, опублікованій на платформі X та розтиражованій багатьма ЗМІ, компанія задекларувала: «Щоб чітко пояснити наш підхід до правових питань, ми не маємо наміру переслідувати осіб, які проводять або публікують свої дослідження безпеки» .

Ця заява прямо суперечила формулюванням про Digital Crimes Unit з блогового допису від 27 травня. Microsoft спробувала подати свою попередню комунікацію як загальну заяву про практики скоординованого розкриття, а не як конкретну загрозу Nightmare Eclipse .

Німецький техноблог BornCity описав цей розворот як «певне задкування» після «шквалу критики», спровокованого дописом MSRC . Галузеве видання iTnews зазначило, що цей крок «стався після потужної негативної реакції з боку дослідників безпеки» .

Що цей відступ означає насправді

Заяву від 2 червня слід розуміти радше як тактичний маневр для мінімізації репутаційних збитків, а не як перегляд політики. Microsoft не взяла на себе зобов'язань змінити свої вимоги до розкриття вразливостей і не відреагувала на основні претензії дослідника щодо ігнорування звітів та невиплачених винагород. Компанія прибрала юридичну загрозу, але залишилася на позиції, що нескоординоване розкриття є безвідповідальним .

Реакція дослідницької спільноти віддзеркалила цей скептицизм. Багато хто сприйняв це «роз'яснення» як тактичний відступ під тиском громадськості, а не як щире зобов'язання захищати права дослідників . Невирішений статус YellowKey, GreenPlasma та MiniPlasma — усі вони залишалися без патчів на початок червня — лише підживлював критику щодо неправильно розставлених пріоритетів Microsoft .

Цей епізод оголив глибоку напруженість у нормах розкриття вразливостей. Скоординоване розкриття тримається на довірі: дослідники приватно повідомляють про помилки, а виробники виправляють їх у розумні терміни. Коли будь-яка зі сторін відчуває порушення цієї домовленості — чи то через ігнорування звітів, невиплату винагород, чи юридичні погрози — уся система стає крихкою. Змусити Microsoft відступити змусили три фактори: масштаб і швидкість обурення спільноти, погроза дослідника влаштувати ще більший витік 14 липня та незручна для компанії оптика, коли вона погрожує судом, а її власні патчі досі не готові.