«Безумно близорукий шаг»: Microsoft отказывается от юридических угроз в адрес исследователей безопасности Windows после негативной реакции

Microsoft пошла на попятную под давлением сообщества и больше не будет угрожать судебными исками исследователям безопасности, которые публикуют информацию об уязвимостях, найденных в Windows. 😱

Недавно один из исследователей, известный как "Chaotic Eclipse" (или Nightmare-Eclipse), опубликовал информацию о новой дыре в защите BitLocker под названием "YellowKey". Она позволяла получить доступ к зашированным дискам Windows 11 всего лишь с помощью USB-ключа. 🤯 Исследователь утверждал, что Microsoft намеренно оставила эту "черную дыру" в системе.

Microsoft подтвердила наличие уязвимости (CVE-2026-45585) и даже предложила временные решения. Но тут началось самое интересное: компания заявила, что такие находки не были предоставлены им заранее, что нарушает их политику раскрытия уязвимостей (CVD). А раз так, то Microsoft пригрозила судебными исками, ссылаясь на свой "Отдел по борьбе с цифровыми преступлениями" (Digital Crimes Unit). 😱

Но это вызвало волну возмущения в сообществе! Другие исследователи и эксперты по безопасности раскритиковали такой подход. Мол, это "безумно недальноходный ход", учитывая, сколько усилий Microsoft вкладывает в создание имиджа самой себя как безопасной и открытой компании, дружелюбной к исследователям. 🤨

Более того, сам Nightmare-Eclipse заявил, что Microsoft заблокировала его аккаунты на GitHub и в Microsoft, что он назвал "репрессиями". 😠

Microsoft, возможно, под давлением негативной реакции, решила смягчить свою позицию. Они заявили: "Чтобы внести ясность в наш подход к юридическим вопросам, мы не намерены предпринимать никаких действий против лиц, проводящих или публикующих исследования безопасности. Когда человек нарушает закон и совершает злонамеренные действия, наносящие реальный вред нашим клиентам, мы будем работать с правоохранительными органами соответствующим образом.” 👍

В общем, хорошая новость: исследователям пока можно выдохнуть. Но осадочек, как говорится, остался. Будем надеяться, что Microsoft извлечет уроки из этой ситуации и будет более конструктивно решать вопросы безопасности в будущем. 🙏

Microsoft сделала шаг назад, но сама проблема взаимодействия с исследователями безопасности остаётся. Важно соблюдать баланс между защитой продуктов и открытостью к сообществу — Евгений (MSReview)