Entre nos nossos canais do Telegram e WhatsApp para notícias em primeira mão.
Telegram: [link do Telegram] WhatsApp: [link do WhatsApp]
A Microsoft ameaçou com ações legais um pesquisador de segurança conhecido como ‘Nightmare Eclipse’ (ou ‘Chaotic Eclipse’) após ele publicar detalhes e códigos de exploração de seis falhas de segurança não corrigidas em produtos-chave do Windows. O conflito reacendeu um debate antigo na indústria de tecnologia: qual é a responsabilidade dos pesquisadores independentes ao descobrir brechas em sistemas de grandes empresas?
Estilo Anos 50 na Sua Sala: Vitrola Raveo Harmony Vermelha com Design de Carros Clássicos
As falhas críticas e os impactos
As vulnerabilidades, batizadas de BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma e MiniPlasma, afetam componentes essenciais do sistema operacional, como o antivírus integrado Defender e a ferramenta de criptografia de disco BitLocker. Em um comunicado em seu blog oficial, a Microsoft criticou o pesquisador por não ter reportado os erros para que pudessem ser corrigidos antes da divulgação pública.
“Divulgações não coordenadas que colocam código de exploração de vulnerabilidades não corrigidas nas mãos de agentes mal-intencionados nunca são justificáveis e têm consequências no mundo real”, afirmou a empresa.
A gigante da tecnologia também afirmou que algumas das falhas já estão sendo usadas por hackers em ataques reais. De acordo com a empresa e a Agência de Cibersegurança e Infraestrutura dos Estados Unidos (CISA), três das vulnerabilidades – BlueHammer, RedSun e UnDefend – já foram exploradas.
A versão do pesquisador
‘Nightmare Eclipse’ tem uma versão completamente diferente da história. Ele alega ter tentado contatar a Microsoft, mas foi “maltratado” pela empresa, que teria revogado seu acesso ao Microsoft Security Response Center (MSRC), o portal oficial para reportar vulnerabilidades.
“Quando eu ativamente pedi para que vocês se comunicassem comigo, vocês se recusaram, me humilharam e fizeram questão de me insultar na frente de outras pessoas”, desabafou o pesquisador, acrescentando que não ganhou “um centavo” por seu trabalho.
O Presente Perfeito para o Churrasqueiro: Faca Artesanal Personalizada com Seu Nome e Logo
O investigador argumentou que, diante do tratamento recebido, não teve alternativa a não ser tornar as falhas públicas, transformando-as em “zero days” — vulnerabilidades desconhecidas pelo fabricante no momento da divulgação. Os códigos foram compartilhados em repositórios abertos como GitHub e GitLab, mas ambas as contas foram posteriormente bloqueadas.
A ameaça legal e a promessa de novos ataques
Em seu blog, a Microsoft fez uma ameaça velada ao pesquisador:
“Nossa Unidade de Crimes Digitais continuará a processar esses atores e aqueles que facilitam sua atividade criminosa, coordenando-se conforme necessário com as forças policiais em todo o mundo”.
Em resposta, ‘Nightmare Eclipse’ prometeu um novo “lançamento arrasador” (bone shattering drop) de vulnerabilidades para 14 de julho, escalando ainda mais a briga pública.
O debate sobre limites e responsabilidade
Este episódio reaviva uma discussão antiga na indústria de cibersegurança: até onde vai a obrigação dos pesquisadores independentes de notificar empresas sobre falhas? A questão da remuneração foi amplamente resolvida com a campanha “No More Free Bugs” (Chega de Bugs Grátis) de 2009, e a maioria das grandes empresas, incluindo a Microsoft, paga recompensas por descobertas reportadas de forma coordenada.
No entanto, especialistas temem que a postura agressiva da Microsoft possa gerar um “efeito inibidor” (chilling effect), desencorajando outros pesquisadores a investigar e relatar vulnerabilidades, o que tornaria os sistemas ainda menos seguros a longo prazo.
A comunidade de cibersegurança continua dividida entre aqueles que apoiam a divulgação coordenada e aqueles que defendem o direito dos pesquisadores de tornarem as falhas públicas quando se sentem injustiçados ou quando as empresas demoram a responder.
