Спор между Microsoft и исследователем безопасности Chaotic Eclipse (также известным как Nightmare Eclipse), который в последние недели опубликовал несколько эксплойтов нулевого дня для Windows, переходит в новую фазу. Microsoft, по-видимому, заблокировала учетную запись Github, через которую исследователь публиковал свои эксплойты. Однако Chaotic Eclipse отреагировал немедленно и перебрался на Gitlab.

Последняя эскалация началась с предоставления Microsoft мер по устранению уязвимости Yellowkey (CVE-2026-45585). "Подтверждение концепции для этой уязвимости было опубликовано с нарушением общепринятых правил координированного раскрытия информации об уязвимостях", — написала Microsoft в своем уведомлении безопасности (откроется в новом окне).

Chaotic Eclipse в ответ заявил в своем блоге (откроется в новом окне), что заявления Microsoft являются попыткой диффамации. "Вы намеренно лишили меня доступа к моей учетной записи MSRC, через которую я сообщал вам об уязвимостях. Когда я обратился к вам по этому поводу и несколько раз попросил объяснений, вы полностью удалили учетную запись", — заявил исследователь.

Microsoft блокирует учетную запись Github

Вскоре после этого, по-видимому, последовала блокировка учетной записи Github Chaotic Eclipse (откроется в новом окне). При попытке перейти по ссылке сейчас отображается ошибка 404. Исследователь не оставил это без ответа и тут же опубликовал еще один пост в блоге (откроется в новом окне) с четким обращением к Microsoft, а также со ссылкой на свою новую учетную запись на Gitlab (откроется в новом окне), где теперь можно найти все его опубликованные ранее эксплойты.

"Позвольте мне прояснить ситуацию: когда я прямо попросил вас [Microsoft] связаться со мной, вы отказались, унизили меня и сделали так, что меня оскорбляли другие люди", — написал Chaotic Eclipse.

"Вы публично порочите меня своим уведомлением о CVE-2026-45585, хотя вы буквально удалили учетную запись Microsoft, через которую я сообщал вам об ошибках, и я не получил за это ни цента — и все равно делал это с удовольствием, как идиот. И теперь у вас хватает наглости заблокировать мою учетную запись Github и просто стереть ее из публичного доступа?"

Обязанность соблюдать конфиденциальность?

Кроме того, исследователь обвиняет Microsoft в активном разжигании конфликта. Однако подробности инцидентов, которые побудили его постоянно публиковать новые эксплойты нулевого дня, Chaotic Eclipse по-прежнему не предоставляет. "Возможно, я кажусь сумасшедшим идиотом, который просто ноет, но у меня есть доказательства каждого моего слова — я просто пока не могу их опубликовать", — говорится в сообщении блога.

Причиной этого является то, что Microsoft уже много лет держит его "в своих когтях". Это указывает на то, что Chaotic Eclipse подписал соглашение о неразглашении, которое в настоящее время не позволяет ему раскрывать подробности. "Надеюсь, я смогу скоро опубликовать документы", — написал исследователь далее.

Можно предположить, что Chaotic Eclipse опубликует новые эксплойты нулевого дня. В своем блоге он пообещал Microsoft, что 14 июля сделает так, чтобы "ваши кости были раздроблены". Это означает, что новый эксплойт появится не позднее июльского "вторника исправлений". Будет ли Chaotic Eclipse публиковать эксплойт в июне, по словам исследователя, пока неясно.