Microsoft gerät unter scharfe Kritik, nachdem das Unternehmen einen Sicherheitsforscher mit dem Pseudonym Nightmare Eclipse wegen der Veröffentlichung ungepatchter Sicherheitslücken in eigenen Produkten mit einer strafrechtlichen Ermittlung bedroht hatte. Der Konflikt entzündete sich an der sogenannten BlueHammer-Lücke sowie weiteren Schwachstellen in Windows Defender und BitLocker, deren Details und Ausnutzungscode von Eclipse auf offenen Repositorien wie GitHub veröffentlicht wurden. Microsoft wirft dem Forscher vor, nicht den vereinbarten Weg einer koordinierten Aufdeckung gewählt und damit böswilligen Hackern Werkzeuge in die Hand gegeben zu haben. Das Unternehmen verwies in einem Blogbeitrag darauf, dass einige der Schwachstellen bereits in realen Angriffen eingesetzt wurden und kündigte an, die eigene Digital Crimes Unit sowie Strafverfolgungsbehörden weltweit einzuschalten, um gegen die Akteure vorzugehen. Im Gegenzug behauptet Nightmare Eclipse, zuvor mit Microsoft Kontakt aufgenommen zu haben, jedoch schlecht behandelt worden zu sein. Das Unternehmen soll den Zugang zum Microsoft Security Response Center, dem Portal für die Meldung von Sicherheitslücken, widerrufen haben. Da der Forscher keine Chance zur Behebung der Lücken mehr sah, sah er sich gezwungen, die Informationen öffentlich zu machen. Seine Accounts auf den Hosting-Plattformen wurden daraufhin gesperrt. Die Debatte zwingt die Cybersecurity-Community erneut zum Nachdenken über die ethische und rechtliche Verantwortung von Forschern. Während es weithin anerkannt ist, dass Entdecker für ihre Arbeit bezahlt werden sollen – ein Konzept, das sich durch Kampagnen wie „No More Free Bugs" durchgesetzt hat –, bleibt die Frage offen, wie weit Forscher gehen müssen, um sicherzustellen, dass Hersteller die gefundenen Fehler beheben, wenn sie dies nicht freiwillig tun. Die Reaktion der Fachwelt auf Microsofts Vorgehen ist überwiegend negativ. Viele Sicherheitsexperten warnen vor einer einschüchternden Wirkung (Chilling Effect). Katie Moussouris, eine Pionierin des Bug-Bounty-Programms, kritisierte den Begriff „verantwortungsvolle Offenlegung" scharf und bezeichnete die Androhung strafrechtlicher Schritte als übertrieben. Sie befürchtet, dass solche Maßnahmen das Vertrauen zwischen Forschern und dem Technologiekonzern untergraben und dazu führen könnten, dass künftig weniger Sicherheitslücken gemeldet werden, was die allgemeine Sicherheit schwäche. Auch Kevin Beaumont, ehemaliger Microsoft-Mitarbeiter, bezeichnete die Position des Unternehmens als „Dumpsterfeuer". Er stellt in Frage, ob die Erstellung und Verbreitung von Exploit-Proof-of-Concepts für unentdeckte Lücken nun als Straftat gilt, und warnt davor, dass die Begründung der verantwortungsvollen Offenlegung oft mehr dem Schutz des Herstellers als dem Schutz des Kunden diene. Bislang haben weder der Forscher noch Microsoft auf entsprechende Anfragen zu einer Stellungnahme reagiert.