Microsoft güvenlik araştırmacılarına geri adım attı: Nightmare Eclipse krizi

Microsoft güvenlik araştırmacısı Nightmare Eclipse'e karşı cezai soruşturma tehdidi sonrası sektör tepkisiyle 1 Haziran'da resmi geri adım attı. Detaylı kronoloji.

Kaan Dülgar · Kurucu ve Editör
Microsoft güvenlik araştırmacılarına geri adım attı: Nightmare Eclipse krizi

Microsoft'un güvenlik araştırmacısı Nightmare Eclipse'e yönelik cezai soruşturma tehdidi, sektörü ikiye böldü. Tartışma yalnızca bir araştırmacının pozisyonu değil, endüstrinin "sorumlu açıklama" (responsible disclosure) kabulünün geleceğine dair bir testti. Microsoft 1 Haziran 2026'da resmi geri adım attı: "yasal eylem sadece bir bireyin yasayı çiğnediği ve müşterilerimize gerçek zarar veren kötü niyetli aktiviteler yapıldığı durumlarda" gerçekleşecek diye netleştirdi. Kriz iki tarafın da yara aldığı bir süreç oldu.

Hızlı bakış

Konu Detay
Araştırmacı Nightmare Eclipse
Açıklanan zafiyet sayısı 6 Windows zero-day (Nisan başı - Mayıs ortası)
Microsoft'un ilk tepkisi Cezai soruşturma tehdidi (Digital Crimes Unit)
Microsoft'un resmi yumuşamısı 1 Haziran 2026
Sektörel tepkinin kilit ismi Katie Moussouris (BugCrowd kurucusu)
Krizin sonucu Microsoft yasal eylem koşullarını netleştirdi
MSRC hesabı Araştırmacının raporlama hesabı silinmiş
Geri adım anahtar cümle "yasayı çiğnemeyen araştırmacıya karşı eylem alınmayacak"

Olay nasıl başladı?

Tartışma Nisan başında patladı. Nightmare Eclipse, Windows ve Microsoft Defender'da bulduğu 6 zero-day zafiyetini Microsoft ile koordine etmeden kamuoyuyla paylaştı (uncoordinated disclosure). Standart süreç şu olur: zafiyet bulunur, Microsoft Security Response Center'a (MSRC) bildirilir, şirket yamayı yayımlar, ondan sonra teknik detay paylaşılır.

Nightmare Eclipse'in iddiası önemli bir nokta üzerinde duruyordu: "Microsoft'un MSRC üzerinden bug raporlama için kullandığım hesabı sildi, daha fazla iletişim kabul etmedi. Hata avından sıfır kuruş kazanmadım."

Microsoft'un sert tepkisi

Microsoft, blog yazısıyla resmi tutumunu açıkladı: koordinasyonsuz açıklama (uncoordinated disclosure) "asla mazur görülemez" denildi. Ardından Digital Crimes Unit'in cezai eylem peşine düşebileceği uyarısı yapıldı.

Bu, en azından son 10 yılın güvenlik açıklama tartışmasında en sert kurumsal tutumdu. Türk siber güvenlik camiasında bile yankı buldu, çünkü pek çok Türk araştırmacı uluslararası bug bounty programlarına katılıyor ve hukuki risk algısı doğrudan etkiliyor.

Sektörün karşı yanıtı

Katie Moussouris, sektörün en saygı duyulan isimlerinden biri, BugCrowd'un kurucularından, Microsoft'un kendi bug bounty programını kurmuş kişi. Microsoft'un blog yazısını sert biçimde eleştirdi: "Bu kovuşturma tehdidi araştırmacıları Microsoft'a güvenmekten alıkoyacak; sonuçta herkes için daha az güvenli bir ortam çıkar."

Microsoft'un Moussouris'in eleştirisini ciddiye alması, geri adımın hızlanmasında etkili oldu. Çünkü Moussouris taş değil, Microsoft'un kendi geçmiş güvenlik kültürünün mimarlarından biri.

Diğer sektör tepkileri:

  • Bug bounty platformları HackerOne ve BugCrowd, Microsoft'a yazılı kaygı bildirdi
  • Akademisyenler "chilling effect" (soğutucu etki) tartışmasını başlattı
  • Açık kaynak topluluğu, MSRC'nin operasyonel sorunlarını gündeme taşıdı

Geri adım, 1 Haziran açıklaması

Microsoft, 1 Haziran 2026'da resmi bir açıklamayla pozisyonunu netleştirdi:

"Yasal eylem, yasayı çiğneyip müşterilerimize gerçek zarar veren kötü niyetli aktiviteler yapan bireyler için saklı kalacaktır. Meşru zafiyet araştırması ve yayını bu kapsamda değildir."

Bu cümle önemli bir ayrım yapıyor, suç eylemi vs araştırma ayrımı. Sektör için kabul edilebilir bir sınır.

Anthropic Project Glasswing yazılım güvenliği yazımda ele aldığım gibi yapay zeka çağında zafiyet araştırması daha da önemli; çünkü AI sistemleri yeni saldırı vektörleri yaratıyor. Microsoft'un geri adımı, bu daha geniş ekosistem için pozitif bir sinyal.

MSRC operasyonel sorunu

Krizin gölgesinde kalan ama belki en önemli mesele: MSRC'nin operasyonel kalitesi. Nightmare Eclipse'in iddiası, raporlama hesabının silinmesi, ödeme yapılmaması, sadece bir araştırmacının deneyimi olabilir; ama Microsoft'a iç süreçlerini gözden geçirme baskısı koyuyor.

Geçmişte (2022) Pegasus / NSO Group kriziyle iç güvenlik araştırması daha şeffaf hale gelmişti. Bu krizin de benzer bir iç düzeltme döngüsünü tetikleyeceği bekleniyor:

  • MSRC raporlama süreçlerinin yeniden yapılandırılması
  • Bug bounty ödemelerinin daha şeffaf takip edilmesi
  • Araştırmacı iletişim kanallarının netleştirilmesi

Türk siber güvenlik camiası için ne anlam ifade ediyor?

Türkiye'de HackTrick, Siber Vatan, Akademitech gibi siber güvenlik topluluklarında uluslararası bug bounty programlarına katılım yaygın. ASELSAN, Yazılım Sektör Derneği ve KGM bünyesindeki güvenlik araştırmacıları için Microsoft krizinin pratik dersleri:

  • Açıklama protokolüne sıkı uyum, kuralları okuyun, dahili süreçlere bağlı kalın
  • Belge tutun, tüm yazışmaları kaydedin, gerekirse hukuki kanıt olur
  • Hukuki danışma alın, büyük zafiyet bulgularını paylaşmadan önce
  • Birden fazla iletişim kanalı kullanın, sadece web formu yetmez

AI ajan güvenlik uyarısı yazımda ele aldığım gibi otomatik AI ajanlarının zafiyet bulması ve açıklaması da yakında benzer hukuki tartışmaları doğuracak.

Kim kazandı?

Kısa vadede Microsoft prestij kaybetti. Uzun vadede hem Microsoft hem de sektör için süreçlerin netleşmesi pozitif. Nightmare Eclipse ise muhtemelen "ünlü" oldu ama Microsoft ile uzun vadeli iş ilişkisini sıfırladı.

Bu işten kazançlı çıkan taraf Katie Moussouris ve sektörel açıklama normları oldu. Microsoft'un agresif tutumu geri çekildi, "araştırmacıyı koruyalım" pozisyonu güçlendi. Türk araştırmacılar dahil tüm dünyada bug bounty katılımı için daha güvenli bir hukuki çerçeve ortaya çıktı.

Kaynak: TechCrunch, The Record, Cybersecurity News, WinBuzzer

Haftalık özet bültenimize katıl

Teknoloji, yapay zeka, kripto ve borsadaki haftanın özetini Pazar sabahı e-postana gönderelim. Spam yok.