Nieuws

Microsoft hekelt onderzoeker over publicatie van YellowKey-lek in BitLocker

donderdag 28 mei 2026, 12:27 door Redactie, 15 reacties

Microsoft is niet te spreken over onderzoekers die kwetsbaarheden in Windows meteen op internet publiceren in plaats van eerst het techbedrijf te informeren, zoals het geval was met het YellowKey-lek in BitLocker. Volgens Microsoft zorgt dit voor onnodige risico's en brengt het Windows-gebruikers in gevaar. De onderzoeker achter het YellowKey-lek zegt dat hij het techbedrijf wel heeft geïnformeerd.

De afgelopen weken verschenen op internet meerdere kwetsbaarheden, zoals RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma en MiniPlasma. Op het moment van de publicatie waren er nog geen patches beschikbaar. Microsoft stelt dat deze beveiligingslekken niet op 'verantwoorde wijze' zijn gerapporteerd. "We verzetten ons tegen deze acties en elke publicatie buiten de juiste coördinatie om die onze klanten en het digitale ecosysteem kunnen schaden. Het ongecoördineerd openbaar maken waardoor proof-of-concept code voor ongepatchte kwetsbaarheden in handen van aanvallers komt is nooit gerechtvaardigd en heeft echte gevolgen", aldus Microsoft.

Het techbedrijf roept beveiligingsonderzoekers op om Coordinated Vulnerability Disclosure (CVD) te volgen, waarbij kwetsbaarheden eerst aan de leverancier worden gemeld, zodat die een update kan ontwikkelen. De beveiligingsonderzoeker achter onder andere YellowKey, GreenPlasma en MiniPlasma stelt dat hij Microsoft wel heeft ingelicht en dat het techbedrijf zijn reputatie schaadt door te beweren dat hij de CVD-richtlijn heeft overtreden. Tevens stelt de onderzoeker dat hij op 14 juli met informatie komt die zeer schadelijk voor Microsoft zal zijn.

Cruisemaatschappij Carnival lekt persoonlijke gegevens 6 miljoen mensen

Meeste ggz-instanties voldoen niet aan verplichte norm voor informatiebeveiliging

Reacties (15)

Reageer met quote

Vandaag, 12:32 door Named

Microsoft heeft een reputatie dat ze bug bounties weigeren uit te keren.
Ik denk dat deze beveiligingsonderzoeker het zat was om opgelicht te worden en dus zijn frustratie uit op een leuke manier.
Daarom kijk ik ook met veel plezier uit naar 14 juli!

Reageer met quote

Vandaag, 12:38 door Anoniem

Microslop roept op voor rechtvaardigheid en hun "moral high ground"...
Misschien even alle telemetrie eruit zodat ze uw metadata niet meer kunnen verkopen aan derden, waaronder aan overheden en sleepwetten?
Misschien alle Microslop lobbypraktijken de wereld uithelpen?
Of zorgen dat Microslop mensen niet van jongs af aan afhankelijk worden van Microslop-producten?
Of de nep-goede doelen van veranderen in échte goede doelen zonder winstbejag?
En ga zo maar door... Zie ook https://youtu.be/OH4uh8cHuto

Reageer met quote

Vandaag, 12:54 door Anoniem

Microsoft is verantwoordelijk voor de introductie van de bug. Steek de hand in eigen boezem in plaats van de boodschapper aan te vallen.

Reageer met quote

Vandaag, 12:59 door Anoniem

Door Named: Microsoft heeft een reputatie dat ze bug bounties weigeren uit te keren.
Ik denk dat deze beveiligingsonderzoeker het zat was om opgelicht te worden en dus zijn frustratie uit op een leuke manier.
Daarom kijk ik ook met veel plezier uit naar 14 juli!

Ik ook. De enige die Windows-gebruikers in gevaar brengt is microsoft zelf!

Reageer met quote

Vandaag, 13:34 door Anoniem

Het is een verdien-model en helemaal nu met AI,
dus alles gaat nu sneller,en men wordt ongeduldig,waar blijft mijn geld en is dan beledigt
vanwege het niet uitbetalen,of andere factoren,dan is dat de beveiligings-onderzoeker aan te rekenen
op zijn gedrag.

Dus in plaats van elkaar te helpen,elkaar te blijven respecteren en te informeren
over beveiligings risico's voor de "maatschappij" publiceren wij uit frustratie
maar deze kwetsbaarheden in Windows meteen op internet.

Nu loopt elke windows gebruiker dus meer risico,het gaat
om de digitale samenleving veilig te houden,daar gaat het om.

Deze beveiligings onderzoekers zijn nu gewoon verkeerd bezig.

Microsoft heeft gelijk

Wereld2026

Reageer met quote

Vandaag, 13:52 door Anoniem

" Tevens stelt de onderzoeker dat hij op 14 juli met informatie komt die zeer schadelijk voor Microsoft zal zijn."

Losstaand van het welles/nietes spelletje tussen MS en "onderzoeker".

Kun je de quote niet opvatten als dreigement; iets of iemand bewust pogen schade te gaan toebrengen en hem daarmee "aanklagen" of "oppakken"?

Gekke wereld en welkom op deze wereld ...

Reageer met quote

Vandaag, 14:05 door Anoniem

Door Anoniem: Het is een verdien-model en helemaal nu met AI,
dus alles gaat nu sneller,en men wordt ongeduldig,waar blijft mijn geld en is dan beledigt
vanwege het niet uitbetalen,of andere factoren,dan is dat de beveiligings-onderzoeker aan te rekenen
op zijn gedrag.

Dus in plaats van elkaar te helpen,elkaar te blijven respecteren en te informeren
over beveiligings risico's voor de "maatschappij" publiceren wij uit frustratie
maar deze kwetsbaarheden in Windows meteen op internet.

Nu loopt elke windows gebruiker dus meer risico,het gaat
om de digitale samenleving veilig te houden,daar gaat het om.

Deze beveiligings onderzoekers zijn nu gewoon verkeerd bezig.

Microsoft heeft gelijk

Wereld2026

Microsoft heeft helemaal niet gelijk. Wij mogen die prut niet eens gebruiken als je niet met hun voorwaarden akkoord gaat. Het is prut en dat zegt die beveiliger ook alleen iets specifieker. Microsoft gaat zelf over de kwaliteit en die beveiliger heeft geen contract met microsoft getekend.

Reageer met quote

Vandaag, 14:09 door Erikje

Je hebt echt geen idee he? Lees je aub eerst even in, voordat je jezelf totaal voor paal zet.

Reageer met quote

Vandaag, 15:09 door Anoniem

Door Anoniem:
Microsoft heeft helemaal niet gelijk. Wij mogen die prut niet eens gebruiken als je niet met hun voorwaarden akkoord gaat.

Goh, lijkt de GPL wel, die software mag ik ook niet gebruiken in mijn product als ik niet aan de voorwaarden voldoe.

Reageer met quote

Vandaag, 15:15 door linuxpro

Goh, wie had dat nou verwacht, mickeysoft die t aan het licht brengen van de zoveelste security screw up niet leuk vind. Nee, Apple of Linux kwetsbaarheden publiceren vinden ze natuurlijk veel leuker. Stel lutsers

Reageer met quote

Vandaag, 15:47 door e.r.

Laat ze maar komen met bewijs dat het niet 41+ maanden geleden is ingediend. Ik hoor ze trouwens nergens iets zeggen over wanneer ze denken dat het wèl ingediend was. Toeval?

Reageer met quote

Vandaag, 15:49 door Anoniem

Exploit gepost naar Github. Zijn account wordt verwijderd. Eigenaar van Github, wie durft een gokje te wagen?

Reageer met quote

Vandaag, 16:33 door Anoniem

Benieuwd of het “works as designed” was.

Reageer met quote

Vandaag, 17:28 door Anoniem

Door Anoniem: Exploit gepost naar Github. Zijn account wordt verwijderd. Eigenaar van Github, wie durft een gokje te wagen?

Sinds MS daar de baas is zijn wij overgestapt naar GitLab maar wel weer inhuis.

Reageer met quote

Vandaag, 17:46 door Anoniem

Bij deze de ontbrekende bron van de onderzoeker zelf. https://deadeclipse666.blogspot.com/2026/05/july-14th.html

De onderzoeker had dus eerder melding gemaakt waarop vervolgens Microsoft het gekoppelde account had uitgeschakeld er is nu een publiekelijk uitgevochten ruzie gaande.

Van beide kanten valt wel wat te zeggen maar ongeacht het beleid dat gevoerd is en of je daar eens mee bent de taal gebruik is juridisch een probleem voor die onderzoeker. Te veel emoties in het spel dat moge duidelijk zijn.

Reageren

Ondersteunde bbcodes

Bold: [b]bold text[/b]

Italic: [i]italic text[/i]

Underline: [u]underlined text[/u]

Quote: [quote]quoted text[/quote]

URL: [url]https://www.security.nl[/url]

Config: [config]config text[/config]

Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Certified Secure GenAI Deep Dive Security Training

Als het "mis" gaat ben ik:

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.

Lees meer

Is er een juridische manier om inzicht te krijgen in het securitybeleid van onze school?

20-05-2026 door Arnoud Engelfriet

Juridische vraag: Een leerling op de school van mijn zoon heeft de centrale printer van hun school gehackt. Volgens hen was het ...

18 reacties

Lees meer

Vragen over Secure Boot op je moederbord

30-04-2026 door Anoniem

Hallo, Volgens hoe ik het begrijp kan je wijzigingen in de Secure Boot data op je moederbord niet terug draaien naar een ...

46 reacties

Lees meer

Zijn werklaptops met vingerafdrukvergrendeling in strijd met de AVG?

13-05-2026 door Arnoud Engelfriet

Juridische vraag: Vanwege zorgen over wachtwoord-delen heb ik mijn werknemers nieuwe laptops gegeven, waarbij ze met hun ...

21 reacties

Lees meer

Solvinity contract verlengd.

25-04-2026 door Anoniem

https://nos.nl/artikel/2611935-kabinet-houdt-digid-contract-bij-solvinity-ondanks-zorgen-van-kamer Verbaasd? Waarom zou iemand ...

86 reacties

Lees meer

Hoe rechtvaardigt mijn bank het gebruik van mijn transactieverkeer voor eigen economische analyse?

06-05-2026 door Arnoud Engelfriet

Juridische vraag: In het artikel Tanktoerisme in België neemt toe, maar Nederlanders niet massaal de grens over lees ik dat ...

26 reacties

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Microsoft hekelt onderzoeker over publicatie van YellowKey-lek in BitLocker

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Als het "mis" gaat ben ik:

Wachtwoord Vergeten

Password Reset

Registreren