Microsoft ve Güvenlik Araştırmacısı Arasında Gerilim: Windows Açıkları Sızdırıldı

Teknoloji devi Microsoft ile bağımsız bir güvenlik araştırmacısı arasında, Windows işletim sistemindeki kritik güvenlik açıklarının ve istismar kodlarının yayımlanmasıyla başlayan hukuki bir kriz yaşanıyor. Siber güvenlik dünyasında büyük yankı uyandıran bu olayda, 'Nightmare Eclipse' takma adlı araştırmacının eylemleri sonrası Microsoft'un hukuki adım sinyali vermesi, teknoloji firmalarının hata bildirim süreçlerini ve bağımsız araştırmacılara yaklaşımlarını yeniden gündeme getirdi.

Nightmare Eclipse Neden Açıkları Sızdırdı?

'Nightmare Eclipse' (bazı kaynaklarda 'Chaotic Eclipse' olarak da biliniyor) adlı araştırmacı, Microsoft Güvenlik Yanıt Merkezi'ne (MSRC) bildirdiği kritik güvenlik açıklarının şirket tarafından yeterince hızlı ele alınmadığını ve hatta hesabının silindiğini iddia etti. Bu duruma tepki gösteren araştırmacı, Microsoft Defender ve BitLocker gibi önemli ürünlerdeki açıkları ve bu açıkları sömürmeye yönelik kodları GitHub ve GitLab gibi platformlarda kamuoyuyla paylaştı.

BlueHammer, RedSun, MiniPlasma ve UnDefend gibi isimler verilen bu sıfırıncı gün (zero-day) açıkları, saldırganlara sistemlerde yönetici yetkisi (SYSTEM) kazandırma potansiyeli taşıyor. Özellikle Defender'ın manipüle edilmesi ve BitLocker şifrelemesinin aşılması, Windows'un güvenlik mimarisi için ciddi bir tehdit oluşturuyor. Bu kodların yama (patch) uygulanmamış milyonlarca cihazı risk altına soktuğu belirtiliyor.

Microsoft'un Tepkisi ve Platform Hesaplarının Kapatılması

Yaşanan bu koordinasyonsuz ifşanın ardından Microsoft, resmi bir açıklama yaparak bu paylaşımın saldırganlara fayda sağlayabileceğini ve yama yayınlanmadan internete düşen kodların müşterileri gerçek dünya saldırılarına maruz bıraktığını belirtti. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) raporlarına göre, bu açiklardan bazılarının kötü niyetli aktörler ve fidye yazılımı grupları tarafından kurumsal ağlara sızmak için kullanılmaya başlandığı doğrulandı.

Gerilimin artmasıyla Microsoft, Dijital Suçlar Birimi'ni devreye sokarak yasal işlem başlatabileceği sinyalini verdi. Bu gelişmeyle eş zamanlı olarak, Microsoft'un sahip olduğu GitHub platformu, Nightmare Eclipse'in hesaplarını ve ilgili depoları erişime kapattı. Araştırmacının verilerini GitLab'a taşıma çabası da kısa sürede engellendi.

Siber Güvenlik Topluluğundan Eleştiriler

Microsoft'un bu sert tepkisi ve yasal yaptırım tehditleri, siber güvenlik camiasında önemli bir tartışma başlattı. Sektördeki genel görüş, Microsoft'un araştırmacılara gözdağı vermeye çalıştığı yönünde. Birçok uzman, Microsoft'un zayıf güvenlik bildirim süreçlerinin bu krize yol açtığını savunuyor.

Uzmanlar, teknoloji devlerinin güvenlik açıklarını bulan bağımsız kişileri hedef göstermesinin ve hukuki yollarla sindirmeye çalışmasının, ekosisteme zarar verdiğini belirtiyor. Bu tür baskıcı yaklaşımların, gelecekteki iyi niyetli hata bildirimlerini engelleyebileceği ve araştırmacıları yasa dışı yollara itebileceği konusunda uyarılar yapılıyor. Nightmare Eclipse'in koordinasyonsuz ifşa yöntemleri etik olarak tartışmalı bulunsa da, Microsoft'un kurumsal tepkisinin şeffaflıktan uzak ve caydırıcı olduğu ifade ediliyor.

Nightmare Eclipse vakası, büyük yazılım şirketleri ile bağımsız güvenlik araştırmacıları arasındaki hassas ilişkiyi bir kez daha gözler önüne serdi. Araştırmacının Temmuz 2026'da daha büyük bir sızıntı yapma tehdidi, siber güvenlik dünyasındaki gerilimi artırmış durumda.