مايكروسوفت تُهدّد باحثاً أمنياً بالملاحقة الجنائية بسبب كشفه ثغرات

تطوّر نزاع مثير بين شركة مايكروسوفت والباحث الأمني المعروف بـ Nightmare Eclipse في أوائل مايو 2026، ليُعيد إلى الواجهة نقاشاً قديماً ومستمراً حول قواعد الإفصاح المسؤول عن الثغرات الأمنية والحقوق المتنازَع عليها بين الشركات والباحثين المستقلين.

عرض الباحث بصورة علنية أربع ثغرات جديدة تطال منتجات مايكروسوفت واسعة الانتشار، في مقدمتها برنامج مكافح الفيروسات Windows Defender وأداة تشفير القرص BitLocker، وأطلق عليها أسماء شفرية هي BlueHammer وRedSun وUnDefend وYellowKey. الأخطر من ذلك أنه نشر مع الثغرات شفرات برمجية تُبيّن كيفية استغلالها، وهو ما يُسمى بالاستغلال لإثبات المفهوم.

ردّت مايكروسوفت بحدة غير معتادة؛ إذ أشارت وحدة الجرائم الرقمية التابعة لها إلى إمكانية مباشرة ملاحقة جنائية ضد من يُقدم على هذا النوع من الإفصاح. ووصف بيان نشره مركز الاستجابة الأمنية لمايكروسوفت هذا التصرف بأنه غير مسؤول ومضرّ بالمستخدمين. فضلاً عن ذلك، جرى تعليق حسابات الباحث على GitHub وGitLab ومنصة مايكروسوفت الأمنية ذاتها.

في المقابل، يدّعي Nightmare Eclipse أن مايكروسوفت هي التي دفعته نحو الإفصاح العلني بسبب ما وصفه بالمعاملة السيئة من فريق الاستجابة الأمنية، وإلغاء حسابه على بوابة الإبلاغ عن الثغرات، وإهمال ثغرات أبلغ عنها سابقاً. وأوضح أن الاستجابة الأخيرة لمايكروسوفت أدت إلى اضطراره لنشر تفاصيل ثغرات لم يُخطط لها أصلاً.

ردود الفعل في الأوساط الأمنية كانت قاطعة في انتقادها لمايكروسوفت. قالت الباحثة الأمنية المخضرمة كيتي موسوريس إن توجيه تهديد بالملاحقة الجنائية لن يُفضي إلا إلى زيادة انعدام الثقة بين مايكروسوفت والباحثين الأمنيين، مما سيُقلّص تدفق الثغرات المُبلَّغ عنها بصورة خاصة. أما الباحث كيفن بومونت فوصف تعامل مايكروسوفت بأنه كارثي ذاتية الصنع.

تكتسب القضية أهمية استثنائية لأن بعض الثغرات المكشوفة باتت تُستغل فعلاً في هجمات حقيقية، بحسب ما أفادت به مايكروسوفت ووكالة الأمن السيبراني CISA الأمريكية. وهذا يُعقّد التقييم الأخلاقي للحادثة؛ فمن جهة، ترى مايكروسوفت أن الإفصاح المبكر مكّن المهاجمين، ومن جهة أخرى، يرى الباحث وكثير من المجتمع الأمني أن مايكروسوفت لم تكن لتُبادر إلى الإصلاح لولا ضغط الإفصاح العلني.

يثير هذا النزاع اهتماماً خاصاً في الفضاء السيبراني العربي، حيث تتنامى مجتمعات الباحثين الأمنيين في مصر والأردن والمغرب والإمارات والسعودية. وتسعى جهات حكومية كالهيئة الوطنية للأمن السيبراني في السعودية والمجلس الأعلى للأمن السيبراني في الإمارات إلى وضع أطر للإفصاح المسؤول ودعم ثقافة الأمن الاستباقي، في حين يشعر كثير من الباحثين العرب المستقلين بالقلق إزاء العواقب القانونية المحتملة عند الإفصاح عن الثغرات، وهو ما يجعل هذه القضية نقطة مرجعية يستحق مجتمع الأمن السيبراني العربي متابعتها عن كثب.

يُذكّر هذا النزاع بأن معادلة الثقة بين شركات البرمجيات وباحثي الأمن المستقلين لا تزال هشّةً، وأن برامج مكافأة الثغرات والإفصاح المنسّق تبقى تعاهدات غير مكتوبة يعتمد نجاحها على احترام متبادل لم تُكرّسه مايكروسوفت هذه المرة.