A Microsoft entrou em conflito público com um pesquisador de segurança conhecido como “Nightmare Eclipse” (ou “Chaotic Eclipse”) após a divulgação de detalhes técnicos e códigos de exploração relacionados a seis vulnerabilidades ainda não corrigidas em produtos do Windows.
O caso reacendeu um antigo debate no setor de tecnologia sobre os limites da divulgação de falhas de segurança e a responsabilidade de pesquisadores independentes ao encontrar brechas em sistemas utilizados por milhões de pessoas.
Falhas afetam componentes importantes do Windows
As vulnerabilidades receberam os nomes de BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma e MiniPlasma. Segundo informações divulgadas pela Microsoft, elas afetam componentes essenciais do sistema operacional, incluindo o Microsoft Defender, antivírus integrado ao Windows, e o BitLocker, ferramenta de criptografia de disco.
Em comunicado publicado em seu blog oficial, a empresa criticou a divulgação pública das falhas antes da disponibilização de correções.
“Divulgações não coordenadas que colocam código de exploração de vulnerabilidades não corrigidas nas mãos de agentes mal-intencionados nunca são justificáveis e têm consequências no mundo real”, afirmou a Microsoft.
A companhia também informou que algumas das vulnerabilidades já estariam sendo exploradas em ataques reais. Segundo a Microsoft e a Agência de Cibersegurança e Infraestrutura dos Estados Unidos (CISA), pelo menos três delas — BlueHammer, RedSun e UnDefend — já foram utilizadas por criminosos.
Pesquisador diz ter sido ignorado pela empresa
O pesquisador, porém, apresenta uma versão diferente dos acontecimentos.
Segundo “Nightmare Eclipse”, ele tentou entrar em contato com a Microsoft para reportar os problemas, mas afirma ter sido ignorado e até humilhado pela empresa. Ele também alega que teve seu acesso ao Microsoft Security Response Center (MSRC), canal oficial para comunicação de vulnerabilidades, revogado.
“Quando eu ativamente pedi para que vocês se comunicassem comigo, vocês se recusaram, me humilharam e fizeram questão de me insultar na frente de outras pessoas”, escreveu o pesquisador.
Ele também afirmou que não recebeu qualquer remuneração pelo trabalho realizado.
Diante da situação, o especialista decidiu tornar públicas as falhas, transformando-as em chamadas “zero days” — vulnerabilidades divulgadas antes da existência de uma correção oficial.
Os códigos de exploração foram publicados em plataformas abertas como GitHub e GitLab, mas as contas utilizadas acabaram sendo bloqueadas posteriormente.
Microsoft cita ações legais
A resposta da Microsoft elevou ainda mais a tensão.
Em sua publicação oficial, a empresa afirmou que sua Unidade de Crimes Digitais continuará atuando contra pessoas que facilitem atividades criminosas.
“Nossa Unidade de Crimes Digitais continuará a processar esses atores e aqueles que facilitam sua atividade criminosa, coordenando-se conforme necessário com as forças policiais em todo o mundo”, declarou a companhia.
A fala foi interpretada por parte da comunidade de segurança digital como uma ameaça de medidas legais contra o pesquisador.
Conflito pode ganhar novo capítulo
Em reação à postura da empresa, “Nightmare Eclipse” prometeu divulgar um novo conjunto de vulnerabilidades em 14 de julho, classificando a futura revelação como um “lançamento arrasador”.
A declaração aumentou a preocupação entre especialistas e usuários sobre uma possível escalada no conflito.
Debate divide especialistas
O episódio reacendeu uma discussão antiga no setor de cibersegurança: até que ponto pesquisadores independentes devem ser obrigados a esperar que empresas corrijam falhas antes de divulgá-las ao público?
Atualmente, muitas grandes empresas mantêm programas de recompensa por vulnerabilidades, conhecidos como “bug bounty”, pagando pesquisadores que reportam problemas de forma coordenada.
No entanto, parte da comunidade teme que ações mais agressivas contra pesquisadores possam gerar um chamado “efeito inibidor”, desestimulando a descoberta e comunicação de falhas de segurança.
Enquanto alguns especialistas defendem a divulgação responsável e coordenada, outros argumentam que pesquisadores têm o direito de tornar as vulnerabilidades públicas quando consideram que as empresas não estão respondendo adequadamente.
O caso segue repercutindo no setor de tecnologia e segurança digital, enquanto a Microsoft trabalha para corrigir as falhas e o pesquisador promete novas revelações nas próximas semanas.
Aliados Brasil 
Comentários
Para comentar realize o login em sua conta!
Login Cadastre-se