واجهت Microsoft انتقادات مؤخرًا بسبب تعاملها مع ثغرات يوم الصفر. أصدر باحث أمني يطلق على نفسه اسم "Nightmare Eclipse" علنًا عدة رموز لإثبات المفهوم لاستغلال الثغرات الأمنية وكان لديه صراع عام مع Microsoft. وتشير بعض تصريحاته إلى أنه قد يكون موظفًا سابقًا في شركة مايكروسوفت.
ما لاحظه باحث الأمن السيبراني كيفن بومونت لم يكن مجرد نقاط الضعف نفسها، ولكن كيف استجابت مايكروسوفت. وقالت مايكروسوفت في بيانها الرسمي إنها تخطط للنظر في الملاحقة الجنائية ضد Nightmare Eclipse على أساس أن الباحث فشل في الكشف عن الثغرة الأمنية وفقًا "لإجراءات التنسيق المناسبة"، وقام تباعًا بحظر حساباته ذات الصلة في GitHub وGitLab ومركز الاستجابة الأمنية لـ Microsoft.
وأشار بومونت إلى أنه بعد حظر حساب العميل بشكل كامل، سيكون من المستحيل تقريبًا تقديم الثغرات الأمنية المستقبلية من خلال ما يسمى بقنوات "الإفصاح المسؤول" الخاصة بشركة مايكروسوفت. وشدد أيضًا على أن الأمر الأكثر إثارة للسخرية هو أن Microsoft قامت منذ فترة طويلة بتوظيف بعض الأشخاص الذين نشروا علنًا رموز استغلال يوم الصفر، بما في ذلك الأشخاص الذين لديهم سجلات إجرامية. وفي الوقت نفسه، تشتري الشركة أيضًا برامج استغلال من وسطاء الثغرات الأمنية.
ومن وجهة نظر بومونت، فإن محاولة مايكروسوفت الحالية لتجريم "عدم الامتثال لإطار "الإفصاح المسؤول" التعسفي في كثير من الأحيان" لا يمكن الدفاع عنها. وحذر من أنه بمجرد تقديم مثل هذه القضية إلى المحكمة، فإن التوظيف السابق لشركة مايكروسوفت، والاستراتيجية الأمنية وقرارات تداول الثغرات الأمنية سيتم طرحها جميعًا على الطاولة، مما يشكل "سيارة مهرج مليئة بالحقائق غير المتسقة"، مما يجعل من الصعب عليها تبرير نفسها تحت المراجعة القضائية.
انطلاقًا من الحادث برمته، لم تعتمد Microsoft على مجتمع الأبحاث الأمنية فحسب، بل قامت أيضًا بشراء وتعيين خبراء أمنيين استغلوا سلوكيات مماثلة. ومن ناحية أخرى، فقد ردت على الأفراد الذين تم الكشف عنهم علانية بتهم جنائية قاسية للغاية وحتى صادمة. وتتخمر الخلافات ذات الصلة في الدائرة الأمنية، كما أشعلت المناقشات من جديد حول ما يشكل "الكشف المسؤول" وحدود قوة شركات التكنولوجيا الكبرى في لعبة الكشف عن نقاط الضعف.