Microsoft оказалась в центре спора после публичного конфликта с исследователем безопасности под псевдонимом Nightmare Eclipse. Компания раскритиковала специалиста за публикацию информации о нескольких уязвимостях, среди которых BlueHammer, RedSun UnDefend и YellowKey, затрагивавших Windows Defender и BitLocker. В Microsoft заявили, что исследователь не воспользовался процедурой ответственного раскрытия и не дал компании времени на выпуск исправлений.
По словам Microsoft, после публикации деталей уязвимостей некоторые из них начали использоваться хакерами в реальных атаках. Компания также намекнула на возможные судебные иски через свое подразделение по борьбе с цифровыми преступлениями. В то же время Nightmare Eclipse утверждает, что пытался контактировать с Microsoft через систему MSRC, однако его учетная запись была заблокирована, после чего он решил обнародовать информацию публично.
Ситуация вызвала волну критики в кибербезопасном сообществе. Многие исследователи заявили о негативном опыте взаимодействия с Microsoft в рамках программ поиска уязвимостей. Основательница Luta Security Katie Moussouris предупредила, что агрессивная реакция компании может привести к «охлаждающему эффекту», когда независимые эксперты просто перестанут сообщать о найденных проблемах безопасности.
Бывший сотрудник Microsoft Kevin Beaumont также раскритиковал позицию компании, заявив, что попытки приравнять публикацию proof-of-concept эксплойтов к преступной деятельности могут подорвать доверие между исследователями и крупными IT-компаниями. Дискуссия в очередной раз подняла вопрос баланса между безопасностью пользователей, правом на исследование уязвимостей и ответственностью компаний за оперативное исправление ошибок.