Microsoft a récemment été critiqué pour sa gestion des vulnérabilités Zero Day. Un chercheur en sécurité qui se fait appeler « Nightmare Eclipse » a publié publiquement plusieurs codes de validation de principe pour exploiter des vulnérabilités et a eu un conflit public avec Microsoft. Certaines de ses remarques suggèrent qu'il pourrait être un ancien employé de Microsoft.

Ce que le chercheur en cybersécurité Kevin Beaumont a remarqué, ce ne sont pas seulement les vulnérabilités elles-mêmes, mais aussi la façon dont Microsoft a réagi. Microsoft a déclaré dans son communiqué officiel qu'il envisageait d'envisager des poursuites pénales contre Nightmare Eclipse au motif que le chercheur n'avait pas divulgué la vulnérabilité selon les « procédures de coordination appropriées » et avait successivement interdit ses comptes associés dans GitHub, GitLab et le Microsoft Security Response Center.

Beaumont a souligné qu'une fois le compte du client complètement banni, il sera presque impossible de soumettre de futures failles de sécurité via les canaux dits de « divulgation responsable » de Microsoft. Il a également souligné que ce qui est encore plus ironique est que Microsoft emploie depuis longtemps des personnes qui ont publié publiquement des codes d'exploitation Zero Day, y compris des personnes ayant un casier judiciaire. Dans le même temps, la société achète également des programmes d’exploitation auprès de courtiers en vulnérabilités.

Selon Beaumont, la tentative actuelle de Microsoft de criminaliser « le non-respect du cadre de « divulgation responsable » souvent plutôt arbitraire » est intenable. Il a averti qu'une fois qu'une telle affaire serait portée devant les tribunaux, les décisions passées de Microsoft en matière d'embauche, de stratégie de sécurité et d'échange de vulnérabilités seraient toutes mises sur la table, formant ainsi une "voiture de clown pleine de faits incohérents", ce qui rendrait difficile pour Microsoft de se justifier dans le cadre d'un contrôle judiciaire.

À en juger par l’ensemble de l’incident, Microsoft s’est non seulement appuyé sur la communauté des chercheurs en sécurité, mais a également acheté et embauché des experts en sécurité qui avaient exploité des comportements similaires. D’un autre côté, il a répondu aux individus révélés publiquement par des accusations criminelles extrêmement sévères, voire choquantes. Des controverses pertinentes fermentent dans le cercle de la sécurité et ont également relancé les discussions sur ce qui constitue une « divulgation responsable » et les limites du pouvoir des grandes entreprises technologiques dans le jeu de la divulgation des vulnérabilités.