واجهت شركة مايكروسوفت مؤخرًا انتقادات بسبب تهديداتها القانونية ضد الباحثين الذين يكشفون عن ثغرات “اليوم الصفري” دون إخطار مسبق. تتمحور القضية حول باحث يُعرف باسم “Chaotic Eclipse” و”Nightmare Eclipse”، الذي كشف عن تفاصيل واستغلالات إثبات المفهوم لعدة ثغرات غير مُرقعة في منتجات مايكروسوفت. أدى خلاف خلال عملية الكشف إلى نشر الباحث لهذه الثغرات، التي تشمل “RedSun”، و”UnDefend”، و”BlueHammer”، و”YellowKey”، و”GreenPlasma”، و”MiniPlasma”. تسمح هذه الثغرات بشكل أساسي بتصعيد الامتيازات، مع قدرة “YellowKey” على تجاوز حماية “BitLocker” وتأثير “UnDefend” على “Microsoft Defender”.
بدأت مايكروسوفت بإصدار تصحيحات، ولكن بعض الثغرات مثل “BlueHammer”، و”RedSun”، و”UnDefend” قد استُغلت بالفعل. اتهم الباحث مايكروسوفت بتجاهل الاتصالات وتشويه سمعته، بينما انتقدت مايكروسوفت الباحث لتعريضه العملاء للخطر. قامت الشركة بتعطيل حسابات الباحث على منصاتها وأكدت على أهمية الكشف المنسق لحماية العملاء.
أثارت ردود الفعل من مجتمع الأمن السيبراني مايكروسوفت لتوضيح موقفها، حيث أكدت أنها لا تنوي اتخاذ إجراءات قانونية ضد الباحثين الذين يجرون أبحاثًا أمنية إلا إذا كان هناك نشاط ضار يسبب ضررًا. أعربت مايكروسوفت عن التزامها بعلاقة بناءة مع مجتمع الأمن، معترفة بإمكانية حدوث سوء فهم ومؤكدة على الاحترام والاحترافية. رغم توضيحات مايكروسوفت، أشار “Nightmare Eclipse” إلى أن إجراء قانونيًا قد اتُخذ ضدهم بالفعل وأعلن عن خطط لإصدار تجاوز كامل لـ”BitLocker” قريبًا.
