Microsoft enfrenta críticas por su manejo de las vulnerabilidades de día cero. Un tipo llamado Nightmare Eclipse ha estado peleando públicamente con la compañía, publicando un código de explotación de prueba de concepto. Algunas de sus publicaciones sugieren que son ex empleados descontentos. Pero lo que llamó la atención de un investigador de ciberseguridad Kevin Beaumont Fue revelador cómo Microsoft ha el respondio.
Microsoft sugiere que planea traer Caso penal Contra Nightmare Eclipse por no seguir el «formato adecuado» al revelar vulnerabilidades. También desactivaron GitHub, GitLab y Microsoft Security Response Center de Nightmare Eclipse. Las cuentas están deshabilitadas. Como señala Beaumont, «es muy difícil informar ‘responsablemente’ sobre vulnerabilidades futuras cuando has sido baneado».
Lo que molesta a Beaumont es que Microsoft contrató a personas que hacían exactamente las mismas cosas. Contrataron a personas que publicaron públicamente exploits de día cero, algunos de los cuales tenían condenas por piratería informática en sus antecedentes. Microsoft también ha comprado exploits a intermediarios.
Si la táctica de Microsoft es tratar de criminalizar el incumplimiento de marcos de «divulgación responsable», a menudo arbitrarios, sería afortunado defender eso en los tribunales, porque hay todo un payaso de toma de decisiones anticipadas dentro de Microsoft y hechos que surgirán en el proceso.