Microsoft'tan Güvenlik Araştırmacısına Şok Tehdit: Ceza Davasıyla Gözdağı!

Microsoft, ürünlerindeki yamalanmamış güvenlik açıklarını ve bu açıkların nasıl istismar edilebileceğine dair kodları paylaşan bağımsız bir güvenlik araştırmacısına karşı sert bir tutum sergileyerek yasal işlem başlatma ve kolluk kuvvetlerini devreye sokma tehdidinde bulundu. "Nightmare Eclipse" takma adını kullanan araştırmacının; Windows Defender ve disk şifreleme aracı BitLocker gibi kritik sistemleri etkileyen BlueHammer, RedSun UnDefend ve YellowKey adlı açıkları kamuoyuna açıklamasının ardından teknoloji devi, resmi blogu üzerinden sert bir eleştiri yayınladı.

Microsoft'un temel iddiası, araştırmacının "sorumlu bir davranış" sergileyerek açıkları önce şirkete bildirmemesi ve bu sayede düzeltme fırsatı vermemesi üzerine kurulu. Şirket, açıkların ve istismar yöntemlerinin yamalar yayınlanmadan önce paylaşılmasının kötü niyetli bilgisayar korsanlarına yol açtığını savunuyor. Microsoft ve ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), söz konusu açıkların gerçek dünyadaki saldırılarda halihazırda kullanıldığını belirtti. Şirketin Dijital Suçlar Birimi, bu tür faaliyetleri destekleyenlere karşı dünya genelindeki kolluk kuvvetleriyle koordineli olarak hukuki süreçleri başlatmaya devam edeceğini vurguladı.

Öte yandan Nightmare Eclipse, yayınladığı blog yazılarında Microsoft ile iletişim kurduğunu ancak şirketin kendisine kötü davrandığını iddia etti. Araştırmacı, güvenlik açıklarının raporlandığı Microsoft Güvenlik Yanıt Merkezi (MSRC) hesabının iptal edildiğini, bu nedenle açıkları kamuoyuna açıklamak dışında bir seçeneğinin kalmadığını öne sürdü. Bu durum, açıkların yayınlandığı an itibarıyla yazılım üreticisi tarafından bilinmeyen "sıfırıncı gün" (zero-day) açıklarına dönüştüğü anlamına geliyor.

Söz konusu güvenlik açları, Microsoft'un sahibi olduğu GitHub ve ayrıca GitLab üzerinden paylaşıldı; ancak araştırmacının her iki platformdaki hesapları da yasaklandı. Yaşanan bu gerginlik, siber güvenlik dünyasında uzun süredir tartışılan "bağımsız araştırmacıların etik sorumlulukları" ve "şirketlerin şeffaflık politikaları" konusundaki tartışmaları yeniden alevlendirirken, sektör uzmanları bu tür sert yaptırımların araştırmacılar üzerinde caydırıcı bir etki yaratarak güvenlik ekosistemine zarar verebileceği konusunda uyarıyor.