마이크로소프트는 최근 제로데이 취약점 처리로 인해 비판을 받았다. 자신을 "Nightmare Eclipse"라고 부르는 보안 연구원이 취약점을 악용하기 위한 여러 개념 증명 코드를 공개적으로 공개했으며 Microsoft와 공개적으로 충돌했습니다. 그의 발언 중 일부는 그가 전직 마이크로소프트 직원일지도 모른다는 것을 시사했습니다.
사이버 보안 연구원 Kevin Beaumont가 발견한 것은 취약점 자체뿐만 아니라 Microsoft가 어떻게 대응했는지였습니다. 마이크로소프트는 공식 성명을 통해 연구원이 "적절한 조정 절차"에 따라 취약점을 공개하지 않았고 GitHub, GitLab 및 Microsoft 보안 대응 센터에서 관련 계정을 연속적으로 금지했다는 이유로 Nightmare Eclipse에 대한 형사 기소를 고려할 계획이라고 밝혔습니다.
Beaumont는 고객의 계정이 완전히 금지된 후에는 Microsoft의 소위 "책임 공개" 채널을 통해 향후 보안 취약점을 제출하는 것이 거의 불가능할 것이라고 지적했습니다. 그는 또한 더욱 아이러니한 것은 범죄 기록이 있는 사람들을 포함하여 제로데이 익스플로잇 코드를 공개적으로 게시한 사람들을 Microsoft가 오랫동안 고용해 왔다는 점이라고 강조했습니다. 동시에 회사는 취약점 브로커로부터 익스플로잇 프로그램도 구매합니다.
Beaumont의 견해에 따르면, "종종 다소 임의적인 '책임 있는 공개' 프레임워크를 준수하지 않는 것"을 범죄화하려는 Microsoft의 현재 시도는 옹호될 수 없습니다. 그는 그러한 사건이 법정에 제기되면 마이크로소프트의 과거 고용, 보안 전략, 취약점 거래 결정이 모두 테이블 위에 올려져 "일관되지 않는 사실로 가득 찬 광대차"가 되어 사법 심사에서 자신을 정당화하기 어렵게 만들 것이라고 경고했습니다.
전체 사건으로 볼 때 Microsoft는 보안 연구 커뮤니티에 의존했을 뿐만 아니라 유사한 행동을 악용한 보안 전문가를 고용하고 고용했습니다. 반면, 공개적으로 공개된 개인에 대해서는 극도로 가혹하고 심지어 충격적인 형사 고발로 대응했습니다. 보안계에서는 관련 논란이 불거지고 있으며, '책임 공개'가 무엇인지, 취약점 공개 게임에서 기술 대기업의 힘이 어디까지인지에 대한 논의도 다시 불붙고 있습니다.