Microsoft matigt juridisch dreigement tegen onderzoeker achter YellowKey-gat

Microsoft zegt geen juridische stappen te nemen tegen beveiligingsonderzoekers die hun werk doen en daarover publiceren. Wel werkt de Windows-maker samen met politie en Justitie als iemand de wet overtreedt en zich kwaadaardig gedraagt om klanten schade te berokkenen.

Microsoft verklaart dit in een post op sociaal netwerk X en reageert daarmee op ontstane ophef over zijn dreigement van juridische stappen tegen beveiligingsonderzoekers. Het bedrijf uitte dit vorige week in een blogpost waarin het uithaalt naar onderzoekers die kwetsbaarheden 'verkeerd' melden. Het gaat om BitLocker-lek YellowKey en een reeks andere zerodaygaten die de afgelopen weken publiekelijk werden onthuld. In sommige gevallen gebeurde dit compleet met exploitcode om er misbruik van te maken. Zerodays zijn kwetsbaarheden waarvoor nog geen patches beschikbaar zijn.

In de IT-beveiligingswereld ontstond ophef over Microsofts mededeling dat zijn Digital Crimes-divisie zaken blijft aanspannen tegen onderzoekers die beveiligingsinformatie en exploitcode zomaar openbaren. Microsoft sprak daarbij over de kwetsbaarheden RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma en MiniPlasma. De ontdekker daarvan lijkt een persoonlijke vete met Microsoft te hebben.

'Ongeacht het verleden'

Microsoft matigt zijn dreigement nu. Het erkent dat de relatie met beveiligingsonderzoekers belangrijk is en op momenten ook kwetsbaar. De beveiligingsgemeenschap speelt een vitale rol voor Microsofts streven om klanten te beschermen, schrijft het Microsoft Security Response Center in de post op X. Het stelt dat er daarbij 'gezien de aard van het werk' soms ook misverstanden zijn. Het beveiligingscentrum van Microsoft belooft dat het te goeder trouw en respectvol omgaat met alle onderzoekers, 'ongeacht interacties in het verleden'.

Microsoft-campus, speech, Satya Nadella. Bron: Microsoft
Microsoft-campus, speech, Satya Nadella. Bron: Microsoft

Door Jasper Bakker

Nieuwsredacteur

Feedback • 01-06-2026 15:48
12 • submitter: Chocoball

01-06-2026 • 15:48

12

Submitter: Chocoball

Lees meer

Microsoft haalt uit naar onderzoekers die 'verkeerd' kwetsbaarheden melden
Microsoft haalt uit naar onderzoekers die 'verkeerd' kwetsbaarheden melden Nieuws van 28 mei 2026
Simpele hacktool op USB-stick kraakt BitLocker-encryptie op Windows-pc's
Simpele hacktool op USB-stick kraakt BitLocker-encryptie op Windows-pc's Nieuws van 14 mei 2026
Hackerscollectief DIVD wil onderzoeken hoe het AI kan inzetten om bugs te vinden
Hackerscollectief DIVD wil onderzoeken hoe het AI kan inzetten om bugs te vinden Nieuws van 8 mei 2026
OpenAI brengt net als Anthropic cybersecuritymodel uit voor kleine groep klanten
OpenAI brengt net als Anthropic cybersecuritymodel uit voor kleine groep klanten Nieuws van 15 april 2026
Microsoft dicht drie zerodays waarvan één actief werd misbruikt
Microsoft dicht drie zerodays waarvan één actief werd misbruikt Nieuws van 14 januari 2026
Meer producten en artikelen
Bedrijfsnieuws Marktontwikkelingen Politiek en recht Microsoft Windows Beveiliging Cybercrime Cybersecurity Juridisch Malware Onderzoek Windows 11

Reacties (12)

-Moderatie-faq
12
12
4
0
0
4
Wijzig sortering

Sorteer op:

Weergave:
batjes
1 juni 2026 15:54
Moest er nou echt iemand van justitie aan Microsoft vertellen van "he man, je gooit zo je eigen glazen in".
Was Microsoft net zo druk bezig met kudo's terug verdienen na het hele copilot,w11 en xbox gedoe.... Komen ze hier mee.

Gaat Microsoft de volgende keer ook juridisch achter Google aan wanneer die Microsoft weer te kakken zet of durven ze dan weer niet?
Reageer
Wouterie @batjes1 juni 2026 16:00
Ach ja, Microsoft... Soms bewegen ze weer de goede kant op en dan opeens kunnen ze de neiging om de dictator uit te hangen toch niet onderdrukken. De onderzoekers zouden de kwetsbaarheden ook aan China of Rusland kunnen verkopen. Ik weet niet of Microsoft daar op zit te wachten... maar goed, aan hen de keuze natuurlijk.
Reageer
The Zep Man
@batjes1 juni 2026 16:04
Moest er nou echt iemand van justitie aan Microsoft vertellen van "he man, je gooit zo je eigen glazen in".
Buiten dat ze in sommige situaties geen poot hebben om op te staan. In bijvoorbeeld Nederland wordt vrijheid van meningsuiting als belangrijker gezien dan de vrijheid om winst te maken. Dit geldt met name als niet expliciet kwade intentie aangetoond kan worden. Microsoft kan dan hoog of laag springen, maar naast hun reputatie zullen ze een aangespannen zaak gewoon verliezen.
Reageer
themadone @The Zep Man1 juni 2026 16:15
Je kan de stelling nemen dat het publiek maken van exploitcode tot onnodige schade en verstoring van de openbare orde kan leiden, dat had je van te voren kunnen weten en toch maak je het publiek.

Het is niet zo zwart wit als even vrijheid van meningsuiting roepen en klaar ben je. De gevolgschade kan afhankelijk van je publicatie absoluut aangerekend gaan worden.

Niet dat ik het in deze eens ben met Microsoft hoor, begrijp me niet verkeerd. Maar je kan er ook voor kiezen om bijvoorbeeld wat generiekere info publiek te gooien zoals toen voor wannacry gebeurde, die gast publiceerde toen gewoon een plaatje van de map en een week later was iedereen die zijn shit op orde had gepatcht.
Reageer
Scriptkid @themadone1 juni 2026 16:47
Nette manier is natuurlijk eerst melden bij het bedrijf waar het exploit zich voor doet , dan wachte op het timeframe van de fix en dan op de dag van de fix je blog post er uit doen en verwijzen naar de fix.

Dan is er niks aan de hand
Reageer
kaas-schaaf @themadone1 juni 2026 16:41
Als ik kijk naar de recente zero days waarin geen explicite code staat maar wel wat er mis ging (met of zonder hints), dan denk ik niet dat ik en anderen moeite hebben met het reproduceren van die aanvallen. Er is een drempel, maar die is niet bijzonder hoog. Laat staan voor goed georganiseerde exploit groepen.

Het laatste wat je suggereert is wellicht handiger, maar dan kom je weer in het copyright- en private eigendomsrecht terecht vrees ik.

[Reactie gewijzigd door kaas-schaaf op 1 juni 2026 16:43]

Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@The Zep Man1 juni 2026 16:49
Het tegen beter weten in publiceren van kwetsbaarheden en exploit code en zo behoorlijk veel mensen in gevaar brengen heeft alleen weinig tot niets met de vrijheid van meningsuiting te maken. Daarbij is dat recht niet absoluut.

[Reactie gewijzigd door Bor op 1 juni 2026 16:53]

Reageer
himlims_ @batjes1 juni 2026 15:59
voor mijn gevoel is windows/microsoft hun eigen graf aan graven. zie steeds minder noodzaak of meerwaarde vanuit Redmond komen. Win11 is een achteruitgang, AI wordt gepushed, cloud prijzen rijzen de pan uit, gamen is ondergeschikt in windows tozv steam. google heeft een betere workspace/werkomgeving dan windows/azure. meer tools gaan via cloud/saas

wat biedt windows nu nog echt?
Reageer
MrMonkE @himlims_1 juni 2026 16:27
Software. Heel veel software. Enorm veel software. Enorm veel drivers.

Zit er iets bij dat niet buiten het eco systeem bestaat zit je vast.
(Of vast aan een Windows image in je nieuwe OS, wat ik doe voor VS.)

Zelfs MIrc heb ik na 30 jaar aan de wilgen gehangen. Draaide ik via Wine. Maar hoewel het geen rocket science is zal het voor het gros toch te hoog gegrepen zijn.
Reageer
Cavemen @himlims_1 juni 2026 16:40
Wij draaien 100% op Windows omdat onze Siemens WinCC advanced & professional puur Windows based zijn. Daarom is er geen reden om nu Linux kennis in huis te hebben wat een eventuele overstap naar Linux en WinCC Unified praktisch onmogelijk maakt (dus eerder Unified op Windows)
Reageer
Henk Poley 1 juni 2026 15:59
En dat terwijl YellowKey voor Microsoft $0 waard was. Kennelijk zijn Microsoft's juristen dus ook gratis (?)
Reageer
RoyD 1 juni 2026 16:18
Heeft Microsoft eigenlijk wel een juridische grond waarop zij dit kan doen?
Reageer

Om te kunnen reageren moet je ingelogd zijn