GitHub แบนนักวิจัยความปลอดภัยที่เปิดเผย Windows zero-day exploit

 (tomshardware.com)
1 คะแนน โดย GN⁺ 4 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • บัญชี GitHub ของ Nightmare-Eclipse ถูกระงับ และเขาอ้างว่านี่ย้ายไปใช้ GitLab พร้อมกล่าวว่าเป็นการตอบโต้จาก Microsoft
  • ความขัดแย้งปะทุขึ้นเต็มที่ในช่วงต้นเดือนเมษายนหลังการเปิดเผย zero-day BlueHammer โดย Eclipse ระบุว่า Microsoft เพิกเฉยต่อการรายงานและคำขอค่าตอบแทน
  • Microsoft ไม่เปิดเผยเหตุผลและลำดับเหตุการณ์ของการระงับ ทำให้ยังไม่ชัดเจนว่าประเด็นคือ การเปิดเผยแบบนอกมาตรฐาน หรือความล้มเหลวของกระบวนการรายงานและจ่ายรางวัล
  • Eclipse เปิดเผย Windows zero-day 6 รายการ ได้แก่ BlueHammer, RedSun, UnDefend และอื่น ๆ โดยบางรายการ ถูกนำไปใช้โจมตีจริงอย่างต่อเนื่อง
  • การแบนบน GitHub แทบไม่สามารถหยุดโค้ดและการโจมตีที่ถูกเปิดเผยไปแล้วได้ และสะท้อนข้อจำกัดของกระบวนการ เปิดเผยและแพตช์ ท่ามกลางการค้นหาช่องโหว่ที่เร็วขึ้นด้วย AI

การระงับบัญชี GitHub และการย้ายไป GitLab

  • Microsoft ระงับบัญชี GitHub ของนักวิจัยความปลอดภัย Nightmare-Eclipse (Chaotic Eclipse) ด้วยเหตุผลที่ยังไม่เปิดเผย
  • Eclipse ระบุว่าได้ย้ายพื้นที่ทำงานไปที่ GitLab และบัญชี Microsoft ที่ใช้รายงานบั๊กก็ถูกลบไปแล้วเช่นกัน
  • ในบล็อกโพสต์ เขาอ้างว่ามาตรการครั้งนี้เป็นการตอบโต้ โดย Microsoft ปฏิเสธการสื่อสารและไม่จ่ายค่าตอบแทน
  • โปรแกรมMSRC bounty programของ Microsoft จ่ายรางวัลสูงสุด 30,000~100,000 ดอลลาร์ สำหรับ endpoint zero-day และสูงสุด 250,000 ดอลลาร์ สำหรับช่องโหว่ Hyper-V ตามเงื่อนไข
  • Eclipse เปิดเผย zero-day exploit ไปแล้ว 6 รายการ และส่งสัญญาณว่าอาจมีการเปิดเผยเพิ่มเติมเกี่ยวกับ Microsoft ในวันที่ 14 กรกฎาคม

ความขัดแย้งระหว่าง Microsoft กับ Eclipse

  • ความขัดแย้งเริ่มรุนแรงขึ้นในช่วงต้นเดือนเมษายน เมื่อ Eclipse เปิดเผย zero-day BlueHammer โดยไม่มีการแจ้งล่วงหน้า
  • บล็อกของ Eclipse วิจารณ์ Microsoft และ MSRC อย่างรุนแรง โดยอ้างว่า Microsoft เพิกเฉยหรือปฏิเสธรายงาน zero-day และไม่จ่ายค่าตอบแทนที่ร้องขอ ทำให้เกิดความเสียหายทางการเงิน
  • Eclipse อ้างว่าได้รับคำพูดจาก Microsoft ว่า “จะทำลายชีวิตของเขา” และบอกว่าสิ่งนั้นเกิดขึ้นจริงแล้ว พร้อมระบุว่ามีลักษณะคล้าย dead man's switch อยู่
  • เนื่องจาก Microsoft ไม่เปิดเผยรายละเอียด จึงยากจะตัดสินว่านี่เป็นปัญหาจากนักวิจัยที่ไม่ปฏิบัติตามขั้นตอนการเปิดเผยมาตรฐาน หรือจากบริษัทที่ทำให้การรายงานช่องโหว่ทำได้ยาก

ข้อถกเถียงเรื่องกระบวนการ MSRC และแรงกดดันต่อนโยบายการเปิดเผย

  • William Dormann จาก Tharros วิจารณ์ในบทความเกี่ยวกับ BlueHammerว่าในอดีต MSRC เคยร่วมงานได้ดี แต่ภายหลังลดต้นทุนด้วยการปลดคนมีประสบการณ์และเหลือแต่คนที่ทำตามเช็กลิสต์กระบวนการ
  • Dormann มองว่าขณะนี้ MSRC ดูเหมือนจะต้องการวิดีโอแสดงการ exploit และเป็นไปได้ว่า Microsoft ปิดเคสเพราะผู้รายงานไม่ได้ส่งวิดีโอดังกล่าว
  • การที่ Microsoft ยังเงียบอยู่ทำให้ยังไม่ชัดเจนว่าแก่นของความขัดแย้งครั้งนี้คือขั้นตอน การเปิดเผยช่องโหว่อย่างรับผิดชอบ และรูปแบบการดำเนินงานจริงของโปรแกรม bounty หรือไม่
  • มีความเห็นว่าแนวทางมาตรฐานแบบ 90 วันเพื่อเปิดเผย-แพตช์ แทบล้าสมัยแล้ว ในยุคของงานวิจัยความปลอดภัยที่ขับเคลื่อนด้วย AI
  • ในบริบทที่เวลาจากการค้นพบสู่การ exploit และช่วงเวลาที่ exploit ยังไม่ถูกใช้งาน กำลังเข้าใกล้ศูนย์ ความจำเป็นที่ Microsoft และผู้ผลิตซอฟต์แวร์รายอื่นต้องปรับนโยบายจึงยิ่งเพิ่มขึ้น

Windows zero-day ที่ถูกเปิดเผย

  • Eclipse เปิดเผย Windows zero-day exploit หลายรายการ
  • BlueHammer เป็นช่องโหว่ที่ทำให้ได้สิทธิ์ SYSTEM ผ่าน Defender
  • RedSun ก็ทำให้เข้าถึงในระดับผู้ใช้ SYSTEM ได้เช่นกัน
  • UnDefend สามารถทำให้ Defender อยู่ในสถานะออฟไลน์ ได้
  • GreenPlasma ทำให้ได้สิทธิ์ SYSTEM ผ่านบริการ CTFMon
  • MiniPlasma ทำให้ยกระดับสิทธิ์ในลักษณะคล้ายกันผ่านข้อบกพร่องของไดรเวอร์ Windows Cloud Filter
  • YellowKey เป็นช่องโหว่ของ BitLocker ที่ทำให้ผู้โจมตีสามารถเปิดไดรฟ์ที่เข้ารหัสได้แทบไม่ต้องออกแรง ส่งผลให้เป้าหมายหลักของ BitLocker ถูกบ่อนทำลาย

การถูกนำไปใช้จริงและผลกระทบด้านความปลอดภัย

  • BlueHammer, RedSun, UnDefend ได้รับการยืนยันว่าถูกนำไปใช้โจมตีจริงในสภาพแวดล้อมการใช้งานแล้ว
  • ช่องโหว่อื่น ๆ ที่เหลือก็มีการเผยแพร่โค้ดพิสูจน์แนวคิดทั้งหมดหรือบางส่วนแล้ว ทำให้ผู้โจมตีที่สนใจนำไปใช้ได้ง่าย
  • การแบนบัญชี GitHub ไม่เพียงพอที่จะลบโค้ดที่เผยแพร่ออกไปแล้วหรือหยุดการโจมตี และยิ่งทำให้ความขัดแย้งระหว่างนักวิจัยกับบริษัทเจ้าของแพลตฟอร์มรุนแรงขึ้น
  • เมื่อการเปิดเผย zero-day ข้อพิพาทเรื่องเงินรางวัล การระงับบัญชี และการค้นหาช่องโหว่ที่เร็วขึ้นด้วย AI มาบรรจบกัน ข้อจำกัดของกระบวนการรายงาน ตรวจสอบ และแพตช์ความปลอดภัยแบบเดิมก็ยิ่งชัดเจนขึ้น

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 4 시간 전
ความเห็นจาก Hacker News

  • แม้จะพบช่องโหว่ด้านความปลอดภัยในเว็บแอป ก็จะไม่รายงานอีกต่อไปแล้ว ครั้งแรกที่รายงาน เกือบโดนตำรวจจับ และครั้งที่สองก็ไม่ตอบฉันเลย แถมติดต่อไปหานายจ้างของฉันโดยตรง บอกว่าการรายงานนั้นทำให้ไม่พอใจ และฉันอยากเขียนเล่าหลังจากแก้ไขแล้ว
    หลังจากนั้นก็คิดว่าไม่คุ้มที่จะรับภาระยุ่งยากแบบนี้อีก ปล่อยไว้เฉย ๆ ฉันก็ยังมีวันอันสงบได้

    • ถ้าต้องการ จะรายงานช่องโหว่ไปที่ Finnish Cyber Security Centre ก็ได้ และที่นั่นจะช่วยจัดการการแจ้งและการไกล่เกลี่ยกับฝ่ายที่ได้รับผลกระทบให้
      ทำได้แบบไม่เปิดเผยตัวตนทั้งหมดด้วย ดังนั้นไม่ต้องกังวลว่าบริษัทที่อ่อนไหวเกินเหตุจะมาทำลายชีวิตคุณ FCSC ของ Traficom เป็นทรัพยากรที่ดีที่ช่วยให้นักวิจัยความปลอดภัยสาย white-hat ยังมีส่วนต่อประโยชน์สาธารณะต่อไปได้
    • ครั้งหนึ่งมีเส้นทางรถไฟสายหนึ่งโพสต์รูปบนโซเชียลมีเดียว่า “ทำเรื่องดี ๆ ให้ใครบางคน” แต่ในรูปที่ถ่ายในออฟฟิศนั้น บนผนังมีแผ่นกระดาษ A4 แปะไว้พร้อม ชื่อผู้ใช้และข้อมูลเข้าสู่ระบบ ของหลายระบบ
      ฉันแจ้งไปยังช่องทางติดต่อ 3 แห่งที่หาได้ แต่มีเพียงแห่งเดียวที่ตอบกลับ และถามว่าระบบเหล่านั้นทำอะไรและมีความเสี่ยงอะไรบ้าง ฉันไม่รู้เลย และไม่มีทางคิดจะล็อกอินเข้าไปตรวจสอบระบบลึกลับพวกนั้นแน่ ๆ จึงตอบไปว่าให้ส่งต่อถึงทีม IT ภายในเพื่อดูเรื่องการเปลี่ยนหรือแทนที่จะดีกว่า
      สุดท้ายได้รับคำตอบว่าขอบคุณสำหรับความใส่ใจและได้ลบรูปแล้ว จึงถือว่าแก้ไขแล้ว หวังว่าจะมีคนที่เข้าใจเรื่องนี้ตรวจสอบจริง ๆ แต่ฉันตัดสินใจว่าจะไม่เข้าไปเกี่ยวข้องต่อ
    • ไม่ไปใส่ใจน่าจะดีกว่า
      ฉันเคยทำ white-hat เป็นอาชีพอยู่พักหนึ่ง และเห็นด้วยว่าความพยายามที่จะซื่อสัตย์และช่วยเหลือกัน ตอนนี้กลับเป็นเรื่องเสี่ยงไปแล้ว ถ้าใครจะเลือกขายช่องโหว่ก็พอเข้าใจได้
    • บางคนอาจวิจารณ์กฎระเบียบ แต่ Cyber Resilience Act (CRA) ที่ EU บังคับใช้ ทำให้บริษัทต้องมีช่องทางติดต่อที่ชัดเจนสำหรับรับรายงานช่องโหว่ และต้องตอบสนองจริง
    • ลองรายงาน exploit แบบไม่เปิดเผยตัวตนไปยังหน่วยงานรัฐดูก็ได้

  • ผมไม่รู้ว่าเกิดอะไรขึ้นที่นี่ แต่กฎข้อแรกของ โปรแกรม bug bounty ขนาดใหญ่คือ ทุกฝ่ายที่เกี่ยวข้องฝั่งผู้ขายมีแรงจูงใจอย่างมากให้มีการจ่ายเงิน
    ในหลายกรณีมีคนที่ตัวชี้วัดภายในผูกกับยอดการจ่าย และการจ่ายในโปรแกรมแบบนี้ถือเป็นเรื่องน่ายินดี จึงแทบเป็นไปไม่ได้ที่จะมองว่า Microsoft กำลังรังแกผู้ยื่นขอ bounty เพื่อประหยัดเงิน
    มันอาจไม่เหมาะกับบริษัทเล็ก และนั่นก็เป็นเหตุผลว่าทำไมบริษัทเล็กไม่ควรทำ bug bounty แต่สำหรับบริษัทระดับ FAANG/MAG7 นี่เข้าข่ายชัดเจน ไม่ได้หมายความว่าโปรแกรมแบบนี้จะใจดีเรื่องการจ่ายเสมอไป หรือจะไม่ตัดสินใจจนทำให้คนโกรธเลย เพียงแต่ไม่สอดคล้องกับข้อกล่าวหาว่าระงับการจ่ายเพราะความอาฆาต
    อย่างไรก็ตาม ขอลดระดับความมั่นใจลงเล็กน้อย เพราะก็ไม่ได้คุยกับคนฝั่ง Microsoft มาสักพักแล้ว

    • ถ้าอ่านบทความของ YellowKey จะเห็นว่าอย่างน้อยในบางกรณี ดูเหมือนมีการเปิดเผยแบ็กดอร์อย่างเป็นทางการของ Microsoft ที่หน่วยข่าวกรองสหรัฐฯ และหน่วยงานอื่นใช้กัน กล่าวคือ BitLocker ไม่ปลอดภัยและมีแบ็กดอร์
      หลังจากที่ TrueCrypt ปิดตัวลงอย่างกะทันหันในวันหนึ่ง ลบไฟล์ดาวน์โหลดทั้งหมด และแนะนำให้ทุกคนย้ายไปใช้ Microsoft BitLocker ก็ไม่ใช่เรื่องที่ไม่มีใครคาดคิดเลย
      [1] - https://www.tomshardware.com/tech-industry/cyber-security/mi...
    • เรื่องนี้เริ่มจากการที่ ระบบราชการ ปฏิเสธแม้แต่จะตรวจสอบ Bluehammer เพราะไม่สามารถเกลี้ยกล่อมให้ผู้แจ้งเปิดเผยวิดีโอออกมาได้
      แล้วแทนที่จะซ่อมระบบราชการ กลับยกระดับไปถึงขั้นแบนบัญชี แบบนี้ดูไม่ดีเอาเสียเลย ฉันไม่ค่อยเข้าใจว่าทำไมถึงตีความว่า Microsoft ทำไปด้วยเจตนาดี
    • บั๊กที่คนนี้ยกมาดูเหมือนเป็น แบ็กดอร์ของ BitLocker ที่ชัดเจนมาก และทำให้เกิดคำถามร้ายแรงอย่างยิ่งเกี่ยวกับสิ่งที่ Microsoft กำลังทำกับการเข้ารหัส
      ดูมีความเป็นไปได้สูงทีเดียวว่าจะถอดรหัสวอลุ่มได้โดยไม่ต้องใช้คีย์ของผู้ใช้ ซึ่งน่ากังวลอย่างยิ่ง ดูเหมือนพยายามทำให้เรื่องเงียบไป แต่ข้อมูลก็ถูกเปิดเผยออกมาแล้ว
    • ถ้าฉลาด หลังจากแบนเขาไปแล้วก็ควรจ้างเขาด้วยเงินก้อนโต บริษัทใหญ่แบบนี้แม้จะกังวล แต่ถ้าไม่โง่ก็จะยอมจ่ายเงิน
      แต่เพราะเป็น Microsoft ก็ไม่แน่ว่าจะเป็นบริษัทที่ก้าวหน้าที่สุดในเรื่องแบบนี้ จึงไม่รู้ว่าเขาตระหนักถึงจุดนี้หรือเปล่า
    • ตอนที่ทำงานรีวิว bug bounty ฉันไม่เคยเห็นหลักฐานว่ามีความไม่เต็มใจจะจ่ายเงินเลย พฤติกรรมที่แย่ที่สุดที่เคยเห็นจากฝั่งบริษัทคือ ขอไว้ใน proof of concept ว่า “โปรดหลีกเลี่ยง X” แต่กลับจ่ายเงินจำนวนสูงกว่าให้กับนักวิจัยที่ไม่ทำตามคำสั่งนั้น
      สุดท้ายก็เพราะความเสี่ยงที่พิสูจน์ได้สูงกว่า ในทางกลับกัน โปรแกรมใหญ่แห่งหนึ่งเคยมีนักวิจัยคนหนึ่งโน้มน้าวได้ตั้งนานแล้วว่า exploit XSS ธรรมดาสามารถก่อผลลัพธ์ที่เข้าข่ายระดับการจ่ายที่สูงกว่าได้ หลังจากนั้นทุกครั้งที่เขาพบ XSS ก็จะแนบ proof of concept ที่ทำผลลัพธ์แบบเดิม ทำให้ได้รับการจ่ายในระดับสูงเกินควรอยู่เรื่อย ๆ ส่วน XSS ของนักวิจัยคนอื่นก็ยังถูกจ่ายตามระดับ XSS ในตาราง
      จริง ๆ แล้วมีข้อยกเว้นครั้งหนึ่งที่นึกออก มีคนทำเรื่องระดับจอกศักดิ์สิทธิ์ได้สำเร็จคือ ติดตั้ง webshell บนเซิร์ฟเวอร์ของบริษัท ซึ่งตามมาตรฐานปัจจุบันน่าจะมีมูลค่าเกิน 10,000 ดอลลาร์ แต่กลับไม่ลบ webshell ออก และเพียงส่งรายงานทิ้งไว้แบบนั้น ผู้รับผิดชอบโปรแกรมโกรธมากและพูดชัดเจนว่าเพราะเหตุนี้จึงไม่อยากจ่าย bounty ให้ สุดท้ายจ่ายหรือไม่ ฉันจำไม่ได้

  • คิดว่า Microsoft จะต้องเสียใจกับเรื่องนี้
    ถ้าใครเจอ zero-day ก็ไม่ได้รางวัลอะไร มีแต่บัญชีโดนแบน ถ้าอย่างนั้นก็เอา zero-day นั้นไปขายที่อื่นแทน

    • แต่เรื่องนี้ไม่ใช่การขาย zero-day exploit แล้วเป็นการเปิดเผยไม่ใช่หรือ ก็เขียนแบบนั้นอยู่ในพาดหัว
      แล้วก็โดนแบนบน GitLab ที่ไม่ได้เกี่ยวกับ Microsoft ด้วย
    • ยังมีคนอื่นที่กำลังหา zero-day อยู่ ชื่อเสียง สำคัญมาก
    • ต่อให้ขาย zero-day ให้ที่อื่นก็คงไม่มีปัญหา CIA สามารถให้ทองคำมูลค่าหลายล้านดอลลาร์ได้ถ้าผู้บริหารระดับสูงร้องขอ แค่ซื้อ exploit ก็คงไม่ต้องมีใบสั่งซื้อด้วยซ้ำ

  • ช่วงไม่กี่เดือนที่ผ่านมาเจอปฏิกิริยาทางดิจิทัลแปลก ๆ มากมายในหลายเรื่องที่เกี่ยวข้อง และก็หงุดหงิดเพราะชี้ไม่ถูกว่าตัวเองกำลังทำอะไรผิดอยู่ตรงไหนกันแน่ จากนั้นก็ได้อ่านประโยคนี้ในบทความ
    “แต่เพื่อประหยัดค่าใช้จ่าย Microsoft ได้ปลดคนที่มีทักษะออก และเหลือไว้แต่พวก ผู้ตามผังงาน
    คำว่าผู้ตามผังงานเป็นคำที่ควรจำไว้ พวกเขาไม่ได้รับเงินเพื่อให้คิด แต่ได้รับเงินเพื่อให้ทำตามขั้นตอนที่วางไว้ล่วงหน้า ดูเหมือนว่าในอนาคตอันใกล้นี้ ไม่ว่าจะเป็นแบบดิจิทัลหรือเป็นคนจริง ๆ เราจะต้องเจอกับผู้ตามผังงานแบบนี้มากขึ้นอีกมาก

    • บริษัทที่ปรึกษาด้านความปลอดภัยองค์กรส่วนใหญ่ที่เคยต้องรับมือในอดีต ขับเคลื่อนด้วย เช็กลิสต์
    • ในงานสายปกสีน้ำเงินจำนวนมาก เช่น ช่างซ่อม ช่างไฟฟ้า และผู้รับเหมาก่อสร้าง การทำตาม flowchart แทบจะเป็นกฎหมาย และขั้นตอนเหล่านั้นก็ถูกเขียนขึ้นด้วยเลือดและความรับผิดชอบ
      ตรงกันข้าม ฝั่ง IT ฝ่ายปฏิบัติการ และนักพัฒนามองตัวเองว่าเป็นชนชั้นผู้รู้ที่มีความเป็นช่างฝีมือและคิดได้อย่างอิสระ มองว่าทางลัด การแฮ็ก และการคิดนอกกรอบเชื่อมโยงกับความสามารถมากกว่าการทำตามขั้นตอน

  • มีจุดยืนสาธารณะอะไรไหมว่าเกิดอะไรขึ้นที่ Microsoft? ทำไมทั้ง Microsoft และ GitLab ถึงแบนผู้ใช้นั้น
    แต่เดิมคิดว่าทั้งสองแพลตฟอร์มอนุญาตให้โฮสต์ exploit และงานวิจัยด้านความปลอดภัยได้ หากติดป้ายให้ชัดเจนตั้งแต่แรก แต่ดูเหมือนว่าน่าจะละเมิดกฎบางอย่าง

    • ถ้าเป็น exploit ของ full-disk encryption ที่ยังต้องอาศัยการเข้าถึงฮาร์ดแวร์อยู่ ก็คงอาจถูกสร้างมาเพื่อหน่วยงานรัฐบาลชื่อย่อสามตัวอะไรทำนองนั้น

  • ยิงผู้ส่งสารทิ้งไปก็คงจบสินะ

    • หรืออาจอยากชักจูงให้ ขายให้หน่วยงานรัฐ มากกว่าจะไปแพตช์ช่องโหว่

  • Microsoft สร้าง ความรับผิดชอบในฐานะบรรณาธิการ ให้ตัวเองขึ้นมาหรือเปล่าที่ต้องลบ zero-day ออกจาก GitHub?
    ถ้ามี zero-day ของซอฟต์แวร์ฉันถูกอัปขึ้น GitHub, Microsoft จะลบบัญชีนั้นด้วยไหม?

    • ไม่เข้าใจว่าทำไมมาตรการครั้งนี้ถึงหมายความว่าจะต้องมีภาระรับผิดชอบในการจัดการกับบัญชีอื่น ๆ ต่อไปด้วย

  • สถานการณ์นี้แสดงให้เห็นอย่างชัดเจนถึง ผลประโยชน์ทับซ้อนเชิงโครงสร้าง ที่ Microsoft เป็นเจ้าของ GitHub
    GitHub มีข้อกำหนดการให้บริการที่ชัดเจนอยู่แล้วเกี่ยวกับการโฮสต์ exploit ที่ถูกทำให้ใช้งานเป็นอาวุธได้จริง แต่การแบนนักวิจัยที่มุ่งเป้าไปที่ Windows นั้น ต่อให้มีเหตุผลอันชอบธรรมอย่างไร ก็เลี่ยงไม่พ้นที่จะดูเหมือนเป็นการตอบโต้

  • ข้อมูลที่สำคัญมาก:
    https://www.theregister.com/security/2026/05/28/microsoft-0-...
    ในโพสต์บล็อกของ Microsoft ที่ลิงก์ไว้มีข้อความดังนี้
    “รายละเอียดของช่องโหว่เหล่านี้ไม่ได้ถูกแชร์กับ Microsoft ก่อนการเปิดเผย และการเปิดเผยนั้นทำให้ลูกค้าตกอยู่ในความเสี่ยงโดยไม่จำเป็น”
    ถ้าอย่างนั้น Microsoft กำลังโกหกอยู่หรือ? ถ้าไม่ใช่ ทำไม Nightmare-Eclipse ถึงไม่รายงาน? เป็นสถานการณ์ที่ค่อนข้างแปลก

    • ขัดใจกับถ้อยคำที่ว่า “การเปิดเผยนั้นทำให้ลูกค้าตกอยู่ในความเสี่ยงโดยไม่จำเป็น”
      ไม่ว่าจะเป็นการเปิดเผยอย่างรับผิดชอบหรือไม่ คนที่ทำให้ลูกค้าเสี่ยงไม่ใช่นักวิจัย แต่คือ Microsoft เอง
    • เหตุผลที่ Nightmare-Eclipse ไม่รายงาน อาจเป็นเพราะมันอาจเป็น องค์กรบังหน้า ของหน่วยข่าวกรองต่างชาติที่ปลอมตัวเป็นนักวิจัยที่ไม่พอใจ
    • ลูกค้าที่พูดถึงตรงนี้ อาจไม่ใช่คนหรือบริษัทที่จ่ายเงินซื้อไลเซนส์ แต่เป็น ผู้ที่ร้องขอแบ็กดอร์นี้