Os supostos programas de recompensas por vulnerabilidades estão a ser postos em causa, com inúmeros investigadores a relatarem "maus-tratos" por empresas como a MS e Apple.
Esta a decorrer um conflito entre a Microsoft e o investigador de segurança conhecido como Chaotic Eclipse / Nightmare-Eclipse que veio lançar dúvidas sobre os supostos programas "bug bounty", e que neste caso resultaram na eliminação das contas Microsoft e GitHub do investigador na sequência da divulgação de uma vulnerabilidade relacionada com o BitLocker no Windows 11.
O caso começou quando Chaotic Eclipse publicou detalhes de uma exploração denominada YellowKey, que permite
aceder a unidades protegidas pelo BitLocker através de um simples dispositivo USB em sistemas Windows 11 e Windows Server recentes. A Microsoft reconheceu posteriormente a vulnerabilidade, identificando-a como CVE-2026-45585, mas criticou a sua divulgação pública antes da conclusão do processo habitual de divulgação coordenada de falhas de segurança - algo que o investigador diz só ter feito após ter sido ignorado durante meses pela MS.
Após a publicação da vulnerabilidade, o investigador acusa a Microsoft de o ter ridicularizado publicamente, e - pior ainda - ter eliminado a sua conta Microsoft utilizada para comunicar falhas através do programa Microsoft Security Response Center (MSRC) e também a sua conta GitHub!
Chaotic Eclipse acusa a Microsoft de ignorar comunicações anteriores, rejeitar relatórios de vulnerabilidades e não atribuir recompensas pelas descobertas efectuadas.
‼️ After the MSRC blog post about Nightmare-Eclipse, researchers are coming forward with their own MSRC horror stories.
The response from the security community isn't going Microsoft's way. As they’re not backing Microsoft.
Gabriel Landau, a well-known Windows security… https://t.co/MS2voYv5vd pic.twitter.com/XP70oAIO7D
— International Cyber Digest (@IntCyberDigest) May 28, 2026
Microsoft ridiculed a researcher reporting very serious bugs to them, deleted his account, and no bug bounties were paid. These should be high payouts. Now $MSFT is threatening legal action and speaking as if a researcher’s proof of concept code is illegal.
This is because the…
— zodttd (@zodttd) May 28, 2026
Este caso veio fazer com que muitos outros investigadores e developers viessem a público com uma campanha #MeToo, em que relatam experiências idênticas, com a MS e também com a Apple, em que passam meses a explicar as falhas descobertas, e em que posteriormente passam a ser totalmente ignorados ou desvalorizados com coisas do tipo "é um problema duplicado", sem qualquer recompensa.
My last submission to MSRC was for a Device Guard bypass. I learned my lesson from prior drawn-out submissions, so I included a 90 day window this time. MSRC responded saying that it met their bar and they would fix it, but asked me to withhold disclosure well past 90 days… https://t.co/fVrTLIJEP5
— Gabriel Landau (@GabrielLandau) May 28, 2026
We will no longer submit bugs we discover in Apple systems through Apple Bounty Program. https://t.co/SdlNTR8mPE pic.twitter.com/HohF1qm0nZ
— Mysk 🇨🇦🇩🇪 (@mysk_co) May 28, 2026
The first screenshot is for the clipboard permission prompt. When we reported the bug to Apple they said it wasn't an issue. They addressed it in the next major release. We contacted them asking if it was eligible for a bounty, they said we weren't the first one to report it.… pic.twitter.com/QpuzOUSIUG
— Mysk 🇨🇦🇩🇪 (@mysk_co) May 29, 2026
Muitos dizem que as experiências foram traumáticas ao ponto de os fazer nunca mais confiar no suposto programa de recompensas das ditas empresas.
Quanto ao caso em curso, do Chaotic Eclipse, as coisas estão longe de estar terminadas. Depois de ter considerado que a MS tentou arruinar a sua carreira, lança uma ameaça para o dia 14 de Julho, dia em que diz que a MS irá "tremer".
