Microsoft ha enfrentado críticas recientemente por su manejo de las vulnerabilidades de día cero. Un investigador de seguridad que se hace llamar "Nightmare Eclipse" publicó públicamente múltiples códigos de prueba de concepto para explotar vulnerabilidades y tuvo un conflicto público con Microsoft. Algunos de sus comentarios sugirieron que podría ser un ex empleado de Microsoft.

Lo que notó el investigador de ciberseguridad Kevin Beaumont no fueron sólo las vulnerabilidades en sí mismas, sino también cómo respondió Microsoft. Microsoft dijo en su declaración oficial que planea considerar un proceso penal contra Nightmare Eclipse basándose en que el investigador no reveló la vulnerabilidad de acuerdo con "procedimientos de coordinación apropiados" y prohibió sucesivamente sus cuentas relacionadas en GitHub, GitLab y el Centro de respuesta de seguridad de Microsoft.

Beaumont señaló que después de que la cuenta del cliente esté completamente prohibida, será casi imposible presentar futuras vulnerabilidades de seguridad a través de los llamados canales de "divulgación responsable" de Microsoft. También enfatizó que lo que es aún más irónico es que Microsoft ha contratado durante mucho tiempo a algunas personas que han publicado públicamente códigos de explotación de día cero, incluidas personas con antecedentes penales. Al mismo tiempo, la empresa también compra programas de explotación a intermediarios de vulnerabilidades.

En opinión de Beaumont, el intento actual de Microsoft de criminalizar “el incumplimiento del marco de ‘divulgación responsable’, a menudo bastante arbitrario”, es insostenible. Advirtió que una vez que un caso de este tipo llegue a los tribunales, las decisiones anteriores de contratación, estrategia de seguridad y comercio de vulnerabilidades de Microsoft se pondrán sobre la mesa, formando un "auto de payaso lleno de hechos inconsistentes", lo que le dificultará justificarse ante una revisión judicial.

A juzgar por todo el incidente, Microsoft no sólo confió en la comunidad de investigación de seguridad, sino que también compró y contrató expertos en seguridad que habían explotado comportamientos similares. Por otro lado, respondió a personas denunciadas públicamente con acusaciones penales extremadamente duras e incluso escandalosas. Se están fermentando controversias relevantes en el círculo de la seguridad y también han reavivado las discusiones sobre lo que constituye una "divulgación responsable" y los límites del poder de las grandes empresas de tecnología en el juego de la divulgación de vulnerabilidades.