Исследователь выложил шесть zero-day для Windows — Microsoft сама в этом виновата

Исследователь под псевдонимом Nightmare Eclipse выпустил шесть zero-day уязвимостей для Windows: BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma, MiniPlasma. Три из них уже эксплуатируются in the wild. И это не конец — он обещает «сокрушительный дроп» 14 июля. Причина? Microsoft удалила его учётную запись для отчётов об уязвимостях и не заплатила ни цента. Дословно: «Вы порочите меня публично, удаляете аккаунт, через который я отправлял вам баги, и я не получил ни копейки».

Кевин Бомонт, известный исследователь безопасности, назвал ситуацию пожаром на мусорной свалке, устроенным самой Microsoft. Кэти Муссурис, глава Luta Security и одна из создателей программ bug bounty в индустрии, указывает на противоречие: Microsoft заявляет, что их программа «обеспечивает исследователям компенсацию и публичное признание» — в ответ на историю исследователя, который не получил ни того, ни другого.

В треде на HN реакция неожиданно сочувственная к хакеру. Один пользователь признаёт: мысль безумная, но он не может не испытывать удовлетворение от того, что кто-то наконец указал на колоссальную услугу, которую исследователи оказывают корпорациям — бесплатно, без гарантий, с риском для карьеры. Другой предлагает конкретный рецепт: немедленное извинение, выплата минимум $100 000 и подписанное соглашение.

Но есть и голос с другой стороны баррикад. Участник, работавший с bug bounty программами, напоминает: обработка отчётов — неблагодарная работа. Это поток ИИ-спама, языковые барьеры, неполные отчёты, раздутые эго. Это не оправдывает удаление аккаунта, но объясняет, почему система ломается.

Техническая деталь, от которой становится не по себе: для RedSun, UnDefend и BlueHammer уже существуют активные форки и митигации. Но YellowKey эксплуатирует бэкдор, который Microsoft нужно закрыть на своей стороне, — а значит, пока Microsoft не выпустит патч, защиты нет.

Microsoft превратила союзника в противника. Это не история про злого хакера — это история про корпорацию, которая решила сэкономить на людях, защищающих её пользователей, и получила предсказуемый результат.