GitHub ha chiuso l’account di Nightmare Eclipse e rimosso i repository con il codice sorgente degli exploit. Microsoft potrebbe ora denunciare lo sviluppatore per aver divulgato i dettagli di sei vulnerabilità prima del rilascio delle patch. In seguito alla pubblicazione del post sul blog del Microsoft Security Response Center (MSRC), l’azienda di Redmond è stata sommersa dalle critiche.
Microsoft rischia di perdere la fiducia dei ricercatori
A partire dal mese di aprile, Nightmare Eclipse (o Chaotic Eclipse) ha pubblicato su GitHub il codice sorgente di sei exploit per Windows 11: RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma e MiniPlasma. Microsoft afferma che i dettagli sulle vulnerabilità zero-day non sono stati forniti dal ricercatore prima della loro divulgazione pubblica.
L’azienda di Redmond sottolinea che la divulgazione non responsabile ha messo in pericolo gli utenti. In effetti, diversi cybercriminali hanno utilizzato alcuni exploit per eseguire attacchi informatici. I team di sicurezza hanno inoltre lavorato senza sosta per sviluppare le patch (sono disponibili per le prime quattro vulnerabilità).
Microsoft scrive nel post che la Digital Crimes Unit continuerà a perseguire questi soggetti e chi agevola le loro attività criminali, coordinandosi con le forze dell’ordine di tutto il mondo. In pratica, Nightmare Eclipse è stato considerato un cybercriminale e potrebbe essere denunciato.
Il ricercatore aveva spiegato sul blog personale che Microsoft ha risposto in modo poco professionale (eufemismo, ndr), in seguito alle segnalazioni sulle vulnerabilità. Recentemente ha anche chiuso il suo account Microsoft Security Response Center. Diversi ricercatori hanno condiviso le loro cattive esperienze nel segnalare i bug.
I ricercatori aspettano solitamente 90 giorni prima di pubblicare i dettagli sulle vulnerabilità (divulgazione responsabile). Microsoft segue invece le regole della divulgazione coordinata, ovvero la pubblicazione dei dettagli solo dopo il rilascio della patch (anche dopo 90 giorni). Se la divulgazione responsabile viene considerata un’attività criminale, l’azienda di Redmond rischia di perdere la fiducia dei ricercatori.
Ti potrebbe interessare
30 mag 2026