Microsoft ने GitHub अकाउंट ब्लॉक करने के बाद Windows zero-day के सार्वजनिक खुलासे की आलोचना की

Microsoft ने बिना patch किए गए zero-day vulnerabilities को सार्वजनिक रूप से अनधिकृत तरीके से उजागर करने वाले एक security researcher पर कड़ी आपत्ति जताई है, और GitHub अकाउंट ब्लॉक होने के बाद उस researcher ने आगे और खुलासों की चेतावनी दी है, जिससे टकराव और गहरा गया है.

पूर्ण अनुवाद

Microsoft ने कहा कि वह coordinated vulnerability disclosure (CVD) process का मज़बूती से समर्थन करता है, और security research community से आग्रह किया कि वे अपनी खोजी गई जानकारी साझा करें ताकि प्रभावित vendors को vulnerabilities के सार्वजनिक होने से पहले उन्हें स्पष्ट रूप से समझने और ठीक करने का अवसर मिल सके.

यह घटनाक्रम 'Chaotic Eclipse' (उर्फ़ Nightmare-Eclipse) नाम के एक researcher द्वारा पिछले एक महीने में Microsoft की vulnerability handling process की कमियों का हवाला देते हुए Defender और BitLocker सहित Windows के विभिन्न components को प्रभावित करने वाली कई zero-day vulnerabilities की details सार्वजनिक करने के बाद शुरू हुआ.

Microsoft ने कहा, "हाल के हफ्तों में कई zero-day vulnerabilities सार्वजनिक की गई हैं," और "इन vulnerabilities की details सार्वजनिक होने से पहले Microsoft के साथ साझा नहीं की गईं, जिससे हमारे customers अनावश्यक जोखिम के संपर्क में आए." कंपनी ने आगे कहा, "अनधिकृत खुलासे से पैदा हुए जोखिमों से निपटने के लिए हमारी security teams प्रभाव का आकलन करने, customers की रक्षा करने और security updates विकसित करने के लिए 24 घंटे काम कर रही हैं."

सार्वजनिक की गई vulnerabilities कुल 6 हैं: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), Undefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma, और MiniPlasma. इनमें से BlueHammer, RedSun, और Undefend सहित 3 vulnerabilities {p:50} पहले से ही वास्तविक वातावरण में सक्रिय रूप से दुर्भावनापूर्ण हमलों में exploit की जा रही हैं.

Microsoft ने कहा कि वह इस तरह के uncoordinated vulnerability disclosure का "दृढ़ता से" विरोध करता है, और चेतावनी दी कि अगर unpatched vulnerabilities का proof-of-concept (PoC) code दुर्भावनापूर्ण actors के हाथ लग गया तो इसके "वास्तविक दुनिया में गंभीर परिणाम" हो सकते हैं. कंपनी ने यह भी कहा, "हम अलग-अलग दृष्टिकोणों का स्वागत करते हैं ताकि security community मिलकर सभी की सुरक्षा कर सके. हम हर मुद्दे पर हमेशा सहमत नहीं होंगे, लेकिन transparency बनाए रखने और संवाद के अवसर जारी रखने का वादा करते हैं," और ज़ोर देकर कहा, "ऐसी बातचीत researcher appreciation events, security conferences, और vulnerabilities को समझने व सुलझाने के लिए हर दिन साथ किए जाने वाले काम के दौरान होती है."

बताया गया है कि इस अनधिकृत खुलासे के असर के चलते GitHub ने पिछले हफ्ते उस researcher का अकाउंट बंद कर दिया. इसके बाद 6 vulnerabilities का exploit code फिर से GitLab पर अपलोड किया गया, लेकिन नया बनाया गया GitLab अकाउंट भी इस समय block है.

उस researcher ने सप्ताहांत में पोस्ट किए गए एक संदेश में दावा किया, "संक्षेप में कहें तो, जब मैंने सक्रिय रूप से संवाद का अनुरोध किया, तब मुझे ठुकराया गया, अपमानित किया गया, और लोगों के सामने खुलकर बेइज़्ज़त किया गया." उसने आगे कहा, "जिस Microsoft अकाउंट का इस्तेमाल मैंने bug report करते समय किया था, उसे पूरी तरह हटा दिया गया, और फिर CVE-2026-45585 security advisory के ज़रिये सार्वजनिक रूप से मेरी प्रतिष्ठा को नुकसान पहुँचाया गया. मैं बिना एक पैसा लिए मूर्ख की तरह खुशी-खुशी काम करता रहा, और अब आप मेरे GitHub अकाउंट को भी flag करके मुझे सार्वजनिक रूप से बिना निशान मिटा देना चाहते हैं? आप सबको साबित कर रहे हैं कि आप इस टकराव को सक्रिय रूप से बढ़ा रहे हैं. लेकिन अब मैं गिड़गिड़ाना बंद कर चुका हूँ."

उस researcher ने यह भी कहा कि वह 14 जुलाई 2026 को कुछ सार्वजनिक करने वाला है, और चेतावनी दी, "उस दिन मैं Microsoft की हड्डियाँ तक तोड़ दूँगा."

लेखक की एक पंक्ति

अब Microsoft शायद पहले जैसा friendly company नहीं लगता