به گزارش خبرگزاری ایمنا، ماجرا از زمانی آغاز شد که پژوهشگری با نام مستعار «Nightmare Eclipse» مجموعهای از آسیبپذیریهای وصلهنشده در محصولات مایکروسافت را به همراه کدهای عملیاتی بهرهبرداری از آنها منتشر کرد. این آسیبپذیریها بخشهای حساسی از اکوسیستم ویندوز از جمله Windows Defender و BitLocker را هدف قرار میدادند؛ دو ابزاری که نقش کلیدی در امنیت میلیونها رایانه در سراسر جهان دارند.
مایکروسافت در واکنش به این اقدام اعلام کرد که انتشار عمومی جزئیات فنی آسیبپذیریها پیش از ارائه وصله امنیتی، کاربران را در معرض خطر قرار میدهد و با اصول «افشای هماهنگ آسیبپذیریها» مغایرت دارد. این شرکت در بیانیهای تأکید کرد واحد جرایم دیجیتال مایکروسافت (Digital Crimes Unit) همچنان علیه افرادی که به گفته این شرکت در فعالیتهای مجرمانه سایبری نقش دارند یا آنها را تسهیل میکنند، اقدام خواهد کرد و در صورت لزوم با نهادهای قضایی و پلیس در کشورهای مختلف همکاری خواهد داشت.
همین بخش از بیانیه، موجی از انتقادها را در جامعه امنیت سایبری بهدنبال داشت. بسیاری از کارشناسان معتقد هستند مایکروسافت با اشاره به امکان پیگرد کیفری، پژوهشگران امنیتی را تهدید کرده و فضایی بازدارنده برای کشف و گزارش آسیبپذیریها ایجاد کرده است.
بر اساس گزارشها، پژوهشگر یادشده طی هفتههای گذشته دستکم شش آسیبپذیری مهم با نامهای BlueHammer، RedSun، UnDefend، YellowKey، GreenPlasma و MiniPlasma را منتشر کرده است. سه مورد نخست به گفته مایکروسافت و همچنین آژانس امنیت سایبری و زیرساخت آمریکا (CISA) در حملات واقعی مورد سوءاستفاده مهاجمان قرار گرفتهاند.
آسیبپذیری YellowKey از مهمترین موارد افشاشده محسوب میشود. این نقص امنیتی امکان دور زدن سامانه رمزگذاری BitLocker را فراهم میکرد و میتوانست دسترسی غیرمجاز به اطلاعات ذخیرهشده روی رایانههای مجهز به ویندوز ۱۱ را ممکن سازد. مایکروسافت بعداً این نقص را با شناسه CVE-2026-45585 ثبت و راهکارهای کاهش خطر آن را منتشر کرد.
موضوع این است که روایت پژوهشگر با روایت مایکروسافت تفاوت اساسی دارد. Nightmare Eclipse مدعی است که پیشتر تلاش کرده آسیبپذیریها را از طریق مرکز پاسخگویی امنیتی مایکروسافت (MSRC) گزارش کند، اما حساب کاربری او حذف شده و ارتباطش با این شرکت قطع شده است. وی همچنین ادعا کرده که برای چندین گزارش امنیتی خود هیچ پاداشی دریافت نکرده و در نهایت ناچار به انتشار عمومی اطلاعات شده است.
این اختلاف موجب شده بحث قدیمی «افشای مسئولانه» بار دیگر به صدر گفتوگوهای امنیت سایبری بازگردد. در مدل رایج افشای هماهنگ، پژوهشگر ابتدا آسیبپذیری را بهصورت محرمانه به شرکت سازنده اطلاع میدهد و پس از رفع مشکل، جزئیات فنی منتشر میشود، با این حال منتقدان میگویند بعضی شرکتهای بزرگ فناوری گاهی از این سازوکار برای کنترل اطلاعات و به تعویق انداختن انتشار مشکلات امنیتی استفاده میکنند.
«کیتی موسوریس»، بنیانگذار شرکت Luta Security و از معماران اولیه برنامههای باگبانتی مایکروسافت، از جمله منتقدان واکنش اخیر این شرکت است. او هشدار داده که تهدید پژوهشگران به پیگرد قضایی میتواند اعتماد جامعه امنیتی به مایکروسافت را کاهش دهد و در نتیجه تعداد افرادی که آسیبپذیریهای مهم را گزارش میکنند کمتر شود؛ اتفاقی که در نهایت امنیت کاربران را به خطر خواهد انداخت.
«کوین بومونت»، پژوهشگر شناختهشده امنیت سایبری و کارمند سابق مایکروسافت نیز موضع این شرکت را به شدت مورد انتقاد قرار داده و گفته است تلاش برای مجرمانه جلوه دادن انتشار کدهای اثبات مفهوم (Proof of Concept) میتواند تبعات گستردهای برای صنعت امنیت اطلاعات داشته باشد.
اکنون این پرونده فراتر از یک اختلاف میان یک پژوهشگر و مایکروسافت رفته و به آزمونی برای آینده تعامل شرکتهای فناوری با جامعه امنیت سایبری تبدیل شده است. کارشناسان هشدار میدهند اگر تهدیدهای حقوقی جایگزین گفتوگو و همکاری شوند، بسیاری از پژوهشگران مستقل از گزارش آسیبپذیریها منصرف خواهند شد؛ مسئلهای که میتواند کشف نقصهای امنیتی را دشوارتر و فضای سایبری را ناامنتر کند.
ر مقابل، مایکروسافت معتقد است انتشار عمومی آسیبپذیریهای وصلهنشده، فرصت سوءاستفاده را در اختیار مجرمان سایبری قرار میدهد و امنیت کاربران را به خطر میاندازد. نتیجه این کشمکش میتواند بر نحوه افشای آسیبپذیریها در سراسر صنعت فناوری تأثیر بگذارد.
نظر شما