Default
Door Remote - 29 May 2026
Nadat een beveiligingsonderzoeker een reeks niet-gepatchte bugs in Microsoft-producten had gepubliceerd, samen met code om deze te misbruiken, dreigt het bedrijf nu juridische stappen te ondernemen en de politie te bellen. De verhulde dreiging van Microsoft wakkert een langlopend argument aan over de vraag welke verantwoordelijkheid beveiligingsonderzoekers eventueel hebben om kwetsbaarheden bloot te leggen die grote en rijke technologiereuzen treffen.
Woensdag publiceerde Microsoft een blogpost waarin kritiek werd geuit op de onderzoeker, die de naam ‘Nightmare Eclipse’ hanteert, omdat hij publiekelijk een reeks bugs openbaarde, waaronder BlueHammer, RedSun UnDefend en YellowKey. De gebreken hadden betrekking op producten zoals de ingebouwde antivirus-engine Defender van Windows en de schijfversleutelingstool BitLocker.
De kern van de klachten van Microsoft is dat de onderzoeker niet heeft geprobeerd de bugs te rapporteren, zodat het bedrijf ze kon repareren. Dat zou “verantwoord” zijn geweest, zoals de blog van Microsoft het uitdrukte. De andere kant van het argument van het bedrijf is dat Nightmare Eclipse, door de details van de bugs te publiceren en hoe deze te exploiteren voordat ze werden gepatcht, kwaadwillende hackers heeft kunnen helpen. Sommige van de kwetsbaarheden die Nightmare Eclipse heeft onthuld, zijn sindsdien door hackers gebruikt bij aanvallen in de echte wereld, aldus Microsoft en het Amerikaanse cyberbeveiligingsagentschap CISA.
“Onze Digital Crimes Unit zal doorgaan met het aanspannen van zaken tegen deze actoren en degenen die hun criminele activiteiten mogelijk maken – waar nodig coördinerend met wetshandhavingsinstanties over de hele wereld”, schreef Microsoft. (Microsoft’s Digital Crimes Unit heeft de missie om het bedrijf te beschermen via verschillende strategieën, waaronder “civielrechtelijke acties, technische tegenmaatregelen, strafrechtelijke verwijzingen en publiek-private partnerschappen”, aldus de website).
In een reeks blogs die de afgelopen weken zijn gepubliceerd – zonder veel specifieke details te geven – beweerde Nightmare Eclipse contact te hebben gehad met Microsoft, maar het bedrijf zou hen hebben mishandeld, waaronder het intrekken van de toegang tot hun Microsoft Security Response Center-account, de portal waar onderzoekers kwetsbaarheden kunnen melden aan de technologiegigant. De implicatie van Nightmare Eclipse was dat ze geen andere keuze hadden dan de kwetsbaarheden publiekelijk vrij te geven, wat in wezen betekende dat het op dat moment zero-days was, een specifieke term voor beveiligingsfouten die onbekend zijn bij de getroffen softwaremaker op het moment dat ze worden onthuld of uitgebuit.
De onderzoekers publiceerden de bugs op open source-repository's GitHub (eigendom van Microsoft) en GitLab. De accounts van de onderzoekers op die platforms zijn verboden.
Nightmare Eclipse en Microsoft hebben niet gereageerd op een verzoek om commentaar.
Cybersecurity-veteranen waarschuwen voor huiveringwekkende effecten
Deze publieke ruzie brengt een langlopend en nog steeds enigszins controversieel debat terug: hebben onafhankelijke beveiligingsonderzoekers de plicht ervoor te zorgen dat de kwetsbaarheden die zij vinden worden opgelost? En hoe ver moeten ze gaan om ervoor te zorgen dat de bedrijven waarvan de producten kwetsbaar zijn, deze ook daadwerkelijk repareren?
Een deel van dit debat, dat volledig is beslecht en algemeen wordt erkend, is dat onderzoekers het verdienen betaald te worden voor hun werk. Hoewel het tegenwoordig misschien voor de hand liggend klinkt, heeft het jaren van strijd gekost, deels vastgelegd tijdens een campagne die in 2009 werd gelanceerd onder de naam ‘No More Free Bugs’. Bijna twintig jaar later betalen de meeste kleine en grote bedrijven financiële beloningen, die vandaag de dag kunnen oplopen tot zes cijfers of meer, aan onderzoekers die bugs privé bekendmaken en de publicatie van hun details coördineren zodra de bugs zijn opgelost.
Als reactie op deze laatste controverse met Nightmare Eclipse hebben talloze onderzoekers hun slechte ervaringen met het melden van bugs aan Microsoft gedeeld. Het is eerlijk om te zeggen dat een groot deel van de cyberbeveiligingsgemeenschap uitgesproken ontevreden is over de manier waarop Microsoft met dit probleem omgaat. Hiertoe behoren cybersecurity-veteranen, zoals Luta Security-oprichtster Katie Moussouris, die tijdens haar werk bij Microsoft halverwege de jaren 2000 een pionier was op het gebied van bugbounties en de technologiegigant ervan overtuigde afstand te nemen van het concept van ‘verantwoorde openbaarmaking’ door het proces te omschrijven als ‘gecoördineerde openbaarmaking’.
“Het inroepen van de term ‘verantwoordelijke’ openbaarmaking was de eerste slag in mijn boek”, vertelde Moussouris aan TechCrunch, verwijzend naar de blogpost van Microsoft. “Het toevoegen van een dreiging met vervolging door [Digital Crimes Unit] te noemen was overdreven en zal er alleen maar toe leiden dat beveiligingsonderzoekers Microsoft gaan wantrouwen.”
Moussouris waarschuwde dat de gevolgen van het verlies van vertrouwen in Microsoft door beveiligingsonderzoekers zouden kunnen leiden tot een huiveringwekkend effect doordat minder mensen naar voren komen om bugs te melden, “waardoor het voor ons allemaal minder veilig wordt.”
Beveiligingsonderzoeker en voormalig Microsoft-medewerker Kevin Bueaumont noemde Microsoft ook in een blogpost, waarin hij de positie van het bedrijf beschreef als een ‘afvalcontainerbrand van eigen makelij’.
“…Proof of concept creatie en distributie van exploits gedurende zero days is nu ‘criminele activiteit’?’ schreef Beaumont. “Verantwoorde openbaarmaking wordt vaak bedacht om de producteigenaar te beschermen, niet de klant. Het gebruiken ervan om mensen strafrechtelijk te vervolgen is een nieuw dieptepunt.”
Woensdag publiceerde Microsoft een blogpost waarin kritiek werd geuit op de onderzoeker, die de naam ‘Nightmare Eclipse’ hanteert, omdat hij publiekelijk een reeks bugs openbaarde, waaronder BlueHammer, RedSun UnDefend en YellowKey. De gebreken hadden betrekking op producten zoals de ingebouwde antivirus-engine Defender van Windows en de schijfversleutelingstool BitLocker.
De kern van de klachten van Microsoft is dat de onderzoeker niet heeft geprobeerd de bugs te rapporteren, zodat het bedrijf ze kon repareren. Dat zou “verantwoord” zijn geweest, zoals de blog van Microsoft het uitdrukte. De andere kant van het argument van het bedrijf is dat Nightmare Eclipse, door de details van de bugs te publiceren en hoe deze te exploiteren voordat ze werden gepatcht, kwaadwillende hackers heeft kunnen helpen. Sommige van de kwetsbaarheden die Nightmare Eclipse heeft onthuld, zijn sindsdien door hackers gebruikt bij aanvallen in de echte wereld, aldus Microsoft en het Amerikaanse cyberbeveiligingsagentschap CISA.
“Onze Digital Crimes Unit zal doorgaan met het aanspannen van zaken tegen deze actoren en degenen die hun criminele activiteiten mogelijk maken – waar nodig coördinerend met wetshandhavingsinstanties over de hele wereld”, schreef Microsoft. (Microsoft’s Digital Crimes Unit heeft de missie om het bedrijf te beschermen via verschillende strategieën, waaronder “civielrechtelijke acties, technische tegenmaatregelen, strafrechtelijke verwijzingen en publiek-private partnerschappen”, aldus de website).
In een reeks blogs die de afgelopen weken zijn gepubliceerd – zonder veel specifieke details te geven – beweerde Nightmare Eclipse contact te hebben gehad met Microsoft, maar het bedrijf zou hen hebben mishandeld, waaronder het intrekken van de toegang tot hun Microsoft Security Response Center-account, de portal waar onderzoekers kwetsbaarheden kunnen melden aan de technologiegigant. De implicatie van Nightmare Eclipse was dat ze geen andere keuze hadden dan de kwetsbaarheden publiekelijk vrij te geven, wat in wezen betekende dat het op dat moment zero-days was, een specifieke term voor beveiligingsfouten die onbekend zijn bij de getroffen softwaremaker op het moment dat ze worden onthuld of uitgebuit.
De onderzoekers publiceerden de bugs op open source-repository's GitHub (eigendom van Microsoft) en GitLab. De accounts van de onderzoekers op die platforms zijn verboden.
Nightmare Eclipse en Microsoft hebben niet gereageerd op een verzoek om commentaar.
Cybersecurity-veteranen waarschuwen voor huiveringwekkende effecten
Deze publieke ruzie brengt een langlopend en nog steeds enigszins controversieel debat terug: hebben onafhankelijke beveiligingsonderzoekers de plicht ervoor te zorgen dat de kwetsbaarheden die zij vinden worden opgelost? En hoe ver moeten ze gaan om ervoor te zorgen dat de bedrijven waarvan de producten kwetsbaar zijn, deze ook daadwerkelijk repareren?
Een deel van dit debat, dat volledig is beslecht en algemeen wordt erkend, is dat onderzoekers het verdienen betaald te worden voor hun werk. Hoewel het tegenwoordig misschien voor de hand liggend klinkt, heeft het jaren van strijd gekost, deels vastgelegd tijdens een campagne die in 2009 werd gelanceerd onder de naam ‘No More Free Bugs’. Bijna twintig jaar later betalen de meeste kleine en grote bedrijven financiële beloningen, die vandaag de dag kunnen oplopen tot zes cijfers of meer, aan onderzoekers die bugs privé bekendmaken en de publicatie van hun details coördineren zodra de bugs zijn opgelost.
Als reactie op deze laatste controverse met Nightmare Eclipse hebben talloze onderzoekers hun slechte ervaringen met het melden van bugs aan Microsoft gedeeld. Het is eerlijk om te zeggen dat een groot deel van de cyberbeveiligingsgemeenschap uitgesproken ontevreden is over de manier waarop Microsoft met dit probleem omgaat. Hiertoe behoren cybersecurity-veteranen, zoals Luta Security-oprichtster Katie Moussouris, die tijdens haar werk bij Microsoft halverwege de jaren 2000 een pionier was op het gebied van bugbounties en de technologiegigant ervan overtuigde afstand te nemen van het concept van ‘verantwoorde openbaarmaking’ door het proces te omschrijven als ‘gecoördineerde openbaarmaking’.
“Het inroepen van de term ‘verantwoordelijke’ openbaarmaking was de eerste slag in mijn boek”, vertelde Moussouris aan TechCrunch, verwijzend naar de blogpost van Microsoft. “Het toevoegen van een dreiging met vervolging door [Digital Crimes Unit] te noemen was overdreven en zal er alleen maar toe leiden dat beveiligingsonderzoekers Microsoft gaan wantrouwen.”
Moussouris waarschuwde dat de gevolgen van het verlies van vertrouwen in Microsoft door beveiligingsonderzoekers zouden kunnen leiden tot een huiveringwekkend effect doordat minder mensen naar voren komen om bugs te melden, “waardoor het voor ons allemaal minder veilig wordt.”
Beveiligingsonderzoeker en voormalig Microsoft-medewerker Kevin Bueaumont noemde Microsoft ook in een blogpost, waarin hij de positie van het bedrijf beschreef als een ‘afvalcontainerbrand van eigen makelij’.
“…Proof of concept creatie en distributie van exploits gedurende zero days is nu ‘criminele activiteit’?’ schreef Beaumont. “Verantwoorde openbaarmaking wordt vaak bedacht om de producteigenaar te beschermen, niet de klant. Het gebruiken ervan om mensen strafrechtelijk te vervolgen is een nieuw dieptepunt.”