Microsoft ve Güvenlik Araştırmacısı Nightmare Eclipse Arasında Hukuki Kriz: Windows Açıkları Sızdırıldı

Siber güvenlik dünyası, teknoloji devi Microsoft ile bağımsız bir güvenlik uzmanı arasında patlak veren devasa bir krizle çalkalanıyor. Dijital dünyada büyük yankı uyandıran bu sarsıcı olayda Microsoft, Nightmare Eclipse adlı güvenlik araştırmacısının Windows açıklarını ve istismar kodlarını yayımlamasının ardından hukuki adım mesajı verdi. Bu eşi benzeri görülmemiş gerilim, teknoloji firmalarının hata bildirim (bug bounty) süreçlerini ve bağımsız araştırmacılara yönelik agresif tutumlarını küresel çapta yeniden tartışmaya açtı.

Nightmare Eclipse Vakası Zafiyetler Neden Sızdırıldı?

Siber güvenlik alanında fırtınalar koparan olay, "Nightmare Eclipse" (bazı platformlarda Chaotic Eclipse olarak da biliniyor) takma adıyla hareket eden araştırmacının, Microsoft'un güvenlik bildirim merkezine (MSRC) duyduğu öfkeyle başladı. İddialara göre araştırmacı, bulduğu kritik güvenlik açıklarını aylarca Microsoft'a bildirdi ancak şirket bu bildirimleri ciddiye almayarak onarım sürecini yavaşlattı, araştırmacının sistemdeki hesabını sildi ve emeğini karşılıksız bıraktı.

Şeffaflık eksikliğine isyan eden araştırmacı, Defender ve BitLocker gibi kritik Microsoft ürünlerini etkileyen açıkları GitHub ve GitLab üzerinden paylaştı. BlueHammer, RedSun, MiniPlasma ve UnDefend gibi isimler verilen bu sıfırıncı gün (zero-day) zafiyetleri, bilgisayar korsanlarına sistemlerde en üst düzey yönetici yetkisi (SYSTEM) kazandırabilecek potansiyele sahip. Özellikle yerleşik bir güvenlik kalkanı olan Defender süreçlerinin manipüle edilmesi ve Windows'un temel disk şifreleme aracı BitLocker'ın atlatılması, işletim sisteminin savunma mimarisine yönelik büyük bir tehdit oluşturuyor. Halka açık olarak yayımlanan bu kodlar, yama (patch) almamış milyonlarca cihazı siber saldırılara açık hale getirdi.

Microsoft’un Sert Yanıtı ve Kapatılan Platform Hesapları

Bu plansız ve koordinasyon dışı ifşanın ardından Microsoft, resmi blog kanalları aracılığıyla çok sert bir bildiri yayımladı. Şirket, bu paylaşımın saldırganlara yardımcı olabileceğini savunurken, yama geliştirilmeden önce internete düşen istismar kodlarının müşterileri gerçek dünya saldırılarına doğrudan maruz bıraktığını vurguladı. Nitekim ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) raporlarına göre bu kritik açıklardan bazıları, şimdiden kötü niyetli aktörler ve fidye yazılımı grupları tarafından kurumsal ağlara sızmak için kullanılmaya başlandı.

Gerilimin tırmanmasıyla birlikte Microsoft, kendi bünyesindeki Dijital Suçlar Birimi'ni (Digital Crimes Unit) devreye sokarak yasal yollara başvurabileceğini duyurdu. Bu hamleyle eş zamanlı olarak, yine Microsoft'un sahibi olduğu popüler kod barındırma platformu GitHub, Nightmare Eclipse'in hesaplarını ve depolarını tamamen erişime kapattı. Sansürü aşmak isteyen araştırmacı, elindeki verileri hızla rakip açık kaynak platformu GitLab'a taşısa da, çok kısa bir süre sonra oradaki hesabı da kalıcı olarak engellendi.

Siber Güvenlik Topluluğunun İsyanı: "Hata Bulanları Suçlamayın"

Teknoloji devinin bu sert sansür hamlesi ve yasal yaptırım imaları, sektörde devasa bir kutuplaşma yarattı. Endüstrideki genel kanıya göre; güvenlik topluluğu Microsoft’un araştırmacılara gözdağı verdiğini düşünüyor. Birçok bağımsız analist, akademisyen ve etik hacker (beyaz şapkalı hacker), Microsoft'un hantal ve sorunlu güvenlik bildirim altyapısının bu krizin asıl sorumlusu olduğunu belirtiyor.

Uzmanlara göre, dev bir teknoloji firmasının kendi ürünlerindeki güvenlik zafiyetlerini tespit eden bağımsız kişileri "suçlu" ilan etmeye çalışması ve onları hukuki yollarla sindirmesi, ekosisteme onarılamaz bir zarar veriyor. Bu tarz baskıcı yöntemlerin, gelecekteki iyi niyetli hata bildirimlerini tamamen durdurabileceği ve araştırmacıları karanlık web (dark web) forumlarında bilgi satmaya itebileceği konusunda ciddi uyarılar yapılıyor. Geliştiriciler, Nightmare Eclipse'in koordinasyonsuz ifşa yöntemleri etik açıdan tartışmalı olsa da, Microsoft'un bu kurumsal tepkisinin şeffaflıktan uzak ve ürkütücü olduğunu savunuyor.

Nightmare Eclipse vakası, milyarlarca kullanıcısı olan yazılım devleri ile bağımsız güvenlik araştırmacıları arasındaki pamuk ipliğine bağlı ilişkinin ne kadar kırılgan olduğunu bir kez daha kanıtladı. Araştırmacının Temmuz 2026 tarihi için "çok daha yıkıcı" bir sızıntı yapma tehdidinde bulunması, siber güvenlik dünyasındaki tansiyonu zirveye taşımış durumda.