Nieuws
image

Onderzoeker hekelt optreden Microsoft richting ontdekker van BitLocker-lek

vrijdag 29 mei 2026, 09:42 door Redactie, 17 reacties

De Britse beveiligingsonderzoeker Kevin Beaumont is niet te spreken over de uithaal van Microsoft richting een onderzoeker die een beveiligingslek in BitLocker en andere Windows-onderdelen ontdekte en openbaarde. De afgelopen weken verschenen op internet meerdere kwetsbaarheden, zoals RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma en MiniPlasma.

Op het moment van de publicatie waren er nog geen patches voor deze problemen beschikbaar. Microsoft stelt in een blogposting dat deze beveiligingslekken niet op 'verantwoorde wijze' zijn gerapporteerd. Het techbedrijf claimt ook dat de onderzoeker met zijn werkwijze gebruikers in gevaar heeft gebracht. Tevens hintte Microsoft naar het strafrechtelijk vervolgen van de onderzoeker.

Beaumont zegt dat hij de acties van de onderzoeker niet steunt, maar is kritisch op de uitspraken van Microsoft. "Het niet volgen van een verzonnen 'responsible disclosure' proces is geen misdrijf." De door Microsoft gewraakte onderzoeker zegt dat hij geprobeerd heeft om de kwetsbaarheden aan Microsoft te rapporteren. Inmiddels is zowel zijn account op Microsofts GitHub-platform en het Microsoft-portaal voor het melden van kwetsbaarheden verwijderd. "Het is vrij lastig om toekomstige kwetsbaarheden 'verantwoord' te melden als je bent verbannen", merkt Beaumont op.

Verder stelt Beaumont dat GitHub al geruime tijd een bron is van zeroday-exploits voor producten van concurrenten van Microsoft. Die mogen blijven staan, terwijl exploits voor producten van Microsoft worden verwijderd, aldus Beaumont. "Microsoft probeert het eigenaarschap van GitHub te misbruiken om alleen zijn eigen producten te beschermen, en misbruikt zijn uitgebreide banden met justitie om het publiceren van informatie over kwetsbaarheden in zijn eigen producten als crimineel gedrag te bestempelen, althans zo lees ik de blogposting."

Volgens Beaumont framen softwareleveranciers responsible disclosure als een manier om hun eigen producten te beschermen, niet de klanten. "Het gebruik ervan om mensen strafrechtelijk te vervolgen is een nieuw dieptepunt." De Britse beveiligingsonderzoeker voegt toe dat dit grote gevolgen voor de cybersecurity-industrie kan hebben, waarbij bedrijfsbelangen boven de collectieve cyberbescherming worden geplaatst.

Reacties (17)
Reageer met quote
Vandaag, 10:09 door Anoniem
Nieuw dieptepunt, de volgende keer word de exploit eerst verkocht, en dit hebben ze volledig aan zichzelf te danken!
Reageer met quote
Vandaag, 10:12 door meidoorn
Microsoft probeert het eigenaarschap van GitHub te misbruiken om alleen zijn eigen producten te beschermen, en misbruikt zijn uitgebreide banden met justitie om het publiceren van informatie over kwetsbaarheden in zijn eigen producten als crimineel gedrag te bestempelen, althans zo lees ik de blogposting."
Ik hoop maar niet dat deze beschuldiging klopt, want als het wél klopt, dan begrijp ik heel goed waarom veiligheidsonderzoekers geen zin hebben om in een soort valkuil van justitie te belanden. Dat dit grote gevolgen voor de cybersecurity-industrie kan hebben is wel duidelijk denk ik.
Reageer met quote
Vandaag, 10:13 door Anoniem
Tjonge wat een rel weer.

Regelmatig berichten hier dat microsoft het rondbazuint als er en bij een andere partij iets stuk blijkt, en nu ze zelf een keer gebeten worden, moord en brand schreeuwen?
En zijn accounts van Github en Gitlab verwijderen, dat is machtsmisbruik!
14. Juli komt hij met info die niet eerder naar buiten mag komen, deze rel vestigt daar nu al de aandacht op.
Reageer met quote
Vandaag, 10:14 door Anoniem
Ja en ik hekel de mensen die elkaar maar hekelen om dat het kan. wat een moddergevecht.

Maar Beaumont heeft hier wel een punt. MS is maakt gewoon misbruik van zijn positie.
Volgens mij kunnen andere bedrijven dan MS ook vervolgen voor het niet adequaat optreden tegen het publiceren van exploits.
Het wordt met de dag erger met Microsoft.
Reageer met quote
Vandaag, 10:24 door Anoniem
Er lopen een paar dingen door elkaar.

Ten eerste de vraag of het onverantwoord is om een zeroday te publiceren zonder de leverancier tijd te geven om een patch te maken. In principe vind ik dat inderdaad onverantwoord, omdat je daarmee aanvallers helpt en het verdedigers moeilijker maakt. De enige reden die ik kan zien om een zeroday te publiceren is als er al misbruik in het wild is, omdat je het dan verdedigers ook mogelijk maakt om zich te verdiepen in die exploit.

Ten tweede de vraag of Microsoft hier ethisch handelt door een andere maat te hanteren voor zerodays in hun eigen producten en zerodays in producten van derden. Nee, dat is niet ethisch. Lijkt me niet enorm complex.

Ten derde de vraag of het strafbaar zou moeten zijn om zerodays te publiceren. Ik snap de argumenten voor, maar denk dat dat toch een stap te ver is.
Reageer met quote
Vandaag, 10:56 door Anoniem
Door Anoniem: Ja en ik hekel de mensen die elkaar maar hekelen om dat het kan. wat een moddergevecht.

Maar Beaumont heeft hier wel een punt. MS is maakt gewoon misbruik van zijn positie.
Volgens mij kunnen andere bedrijven dan MS ook vervolgen voor het niet adequaat optreden tegen het publiceren van exploits.
Het wordt met de dag erger met Microsoft.
Correctie, het is altijd al zo geweest met Microsoft.
Ik vind het zo jammer dat iedereen altijd zo kort van memory is.
Al meerdere keren aan de orde geweest hoe Microsoft in ieder opzicht de markt bepaalt, kijk alleen al naar het debacle Exchange hoe ze daar de markt mee in de luren heeft gelegd en we blijven het met zijn allen gewoon tolereren en goedpraten, onvoorstelbaar.

Microsoft heeft meerdere keren publiek geprobeerd klanten gerust te stellen over Amerikaanse overheidsinzage en surveillance, vooral rond cloud-data en nationale veiligheidsverzoeken en ziet wat er recent is gebeurd:

Microsoft heeft geen excuses aangeboden aan de Nederlandse overheid voor het delen van gegevens. Het techbedrijf speelde onder de Amerikaanse Cloud Act de namen door van Nederlandse ambtenaren die betrokken zijn bij de handhaving van de Europese Digital Services Act (DSA).

Ik heb ze nog nooit vertrouwd en zal dat ook nooit doen en mijn conclusie is om los te komen van die rommel en zorg dat je baas blijft in eigen huis.
Reageer met quote
Vandaag, 11:02 door Anoniem
Het techbedrijf claimt ook dat de onderzoeker met zijn werkwijze gebruikers in gevaar heeft gebracht.
Huh? Wie heeft die brakke software geschreven? De onderzoeker of microsoft???

Brakke software is blijkbaar de norm aldaar. En heb het lef om er wat over te zeggen. Niet goed voor de commercie!
Reageer met quote
Vandaag, 11:27 door Anoniem
Door Anoniem: Er lopen een paar dingen door elkaar.

Ten eerste....

Ten vierde: de vraag of Microsoft de melding van de onderzoeker serieus en met urgentie heeft behandeld. Mijn ervaring is dat ze vrij makkelijk in eerste instantie zeggen dat iets by design is of de ernst ervan bagatelliseren. Als een onderzoeker het vervolgens gefrustreerd in de openbaarheid brengt en de hele wereld valt over de ernst ervan gaat een bug de lijn in, worden legal en communicatie betrokken en kijkt Microsoft hoe ze de schuld (beeldvorming) naar de onderzoeker kunnen verschuiven. Mijns inziens zou het ook goed zijn als ze eens naar hun initiële impactanalyse/behandelingsproces kijken.
Reageer met quote
Vandaag, 12:25 door Anoniem
Ik wist niet dat er nog mensen bestonden die dit bedrijf serieus namen. Het is verpilde moeite, zoals dit soort handelingen duidelijk laat zien.

Doet me denken aan die uitspraak van ene burgemeester van laatst... het is niet zo erg dat er prive-gegevens gelekt zijn, het zijn die verdraaide gluurders die door het raampje (mee)keken en en deze gegevens wilen publiceren die de oorzaak van al het kwaad in deze wereld zijn. Of kortweg: shoot the messenger.
Reageer met quote
Vandaag, 13:07 door e.r. - Bijgewerkt: Vandaag, 13:08
"Beaumont zegt dat hij de acties van de onderzoeker niet steunt"
Welke acties? Het na 41 maanden publiceren van een exploitcode omdat MS weigert dit probleem te erkennen?

Nou, verkoop het dan maar aan Rusland en China. Dat is wat er gaat gebeuren namelijk. Niet goed.

Oh, en EU, komt dr maar in met de DMA. Er zal vast iets instaan over machtmisbruik als ze eigen-product zero-days verwijderen en die van concurrenten niet.
Reageer met quote
Vandaag, 13:17 door Anoniem
Door Anoniem:
Door Anoniem: Ja en ik hekel de mensen die elkaar maar hekelen om dat het kan. wat een moddergevecht.

Maar Beaumont heeft hier wel een punt. MS is maakt gewoon misbruik van zijn positie.
Volgens mij kunnen andere bedrijven dan MS ook vervolgen voor het niet adequaat optreden tegen het publiceren van exploits.
Het wordt met de dag erger met Microsoft.
Correctie, het is altijd al zo geweest met Microsoft.
Ik vind het zo jammer dat iedereen altijd zo kort van memory is.
Al meerdere keren aan de orde geweest hoe Microsoft in ieder opzicht de markt bepaalt, kijk alleen al naar het debacle Exchange hoe ze daar de markt mee in de luren heeft gelegd en we blijven het met zijn allen gewoon tolereren en goedpraten, onvoorstelbaar.

Microsoft heeft meerdere keren publiek geprobeerd klanten gerust te stellen over Amerikaanse overheidsinzage en surveillance, vooral rond cloud-data en nationale veiligheidsverzoeken en ziet wat er recent is gebeurd:

Microsoft heeft geen excuses aangeboden aan de Nederlandse overheid voor het delen van gegevens. Het techbedrijf speelde onder de Amerikaanse Cloud Act de namen door van Nederlandse ambtenaren die betrokken zijn bij de handhaving van de Europese Digital Services Act (DSA).

Ik heb ze nog nooit vertrouwd en zal dat ook nooit doen en mijn conclusie is om los te komen van die rommel en zorg dat je baas blijft in eigen huis.

Die conclusie onderstreep ik !!!

De geruststelling is niet gegrond https://www.theregister.com/off-prem/2025/07/25/microsoft-exec-admits-it-cannot-guarantee-data-sovereignty/458553
Microsoft (weder)verkopers willen het nog wel een verpakken alsof ze zaken doen met Ierland ipv de VS, ook niet waar.
Er wordt vaak gerefereerd naar en gediscussieerd over het Internationaal Strafhof geval, hoe het precies zit, maar die waren wel halsoverkop weg bij Microsoft dus.
En dat zou iedere weldenkende organisatie en iedere ondernemer/persoon moeten doen.
Nederland is al begonnen, nog niet met daden, wel met woorden, iedereen praat erover.
Reageer met quote
Vandaag, 13:48 door Anoniem
Door Anoniem: Er lopen een paar dingen door elkaar.

Ten eerste de vraag of het onverantwoord is om een zeroday te publiceren zonder de leverancier tijd te geven om een patch te maken. In principe vind ik dat inderdaad onverantwoord, omdat je daarmee aanvallers helpt en het verdedigers moeilijker maakt. De enige reden die ik kan zien om een zeroday te publiceren is als er al misbruik in het wild is, omdat je het dan verdedigers ook mogelijk maakt om zich te verdiepen in die exploit.
Je moet daar niet uit het oog verliezen hoe die coordinated vulnerability disclosure, of responsible disclosure zoals het eerst genoemd werd, eigenlijk is ontstaan. In de jaren '90, toen het internet grootschalig los ging, waren er nogal wat softwareleveranciers die zich domweg niets van meldingen van lekken aantrokken en deden of hun neus bloedde. Een groep mensen die dergelijke lekken vonden en meldden was daar niet blij mee, redeneerde dat als zij die lekken konden vinden iemand die ze zou misbruiken dat ook kon, en nam het standpunt in dat de leveranciers voor het blok zetten door het dan maar meteen in de openbaarheid te gooien minder schadelijk was dan accepteren dat leveranciers het lieten voortwoekeren. Responsible disclosure is als reactie daarop bedacht: houd het een periode stil zodat leveranciers het kunnen repareren, maar niet onbeperkt zodat er wel degelijk druk op de ketel staat om die reparatie ook echt te doen.

Als Microsoft nu het melden van lekken koppelt aan het hebben van een account én iemands account afsluit (een punt dat je niet noemde maar dat wel degelijk ook een van de dingen is die hier door elkaar lopen), dan plaatst Microsoft zelf iemand in de positie dat die moet kiezen tussen een gevonden lek niet melden en dat lek meteen publiek maken. Als dat inderdaad is wat hier gebeurd is dan heeft Microsoft zelf in de hand gewerkt dat deze persoon nu lekken direct publiek maakt.

Ik weet niet waarom dat account is afgesloten, wie weet is die figuur wel een bloedirritante etterbuil die tien keer zoveel energie kost om mee om te gaan dan nodig is om een melding af te handelen, maar dat neemt niet weg dat je moeilijk een account kan afsluiten als dat account een voorwaarde is om een beveiligingslek te kunnen melden. Als Microsoft dat zo opzet moet het maar accepteren dat het ook met mensen om moet gaan die een vervelende gebruiksaanwijzing hebben.
Reageer met quote
Vandaag, 14:22 door Anoniem
Door Anoniem:
Door Anoniem: Ja en ik hekel de mensen die elkaar maar hekelen om dat het kan. wat een moddergevecht.

Maar Beaumont heeft hier wel een punt. MS is maakt gewoon misbruik van zijn positie.
Volgens mij kunnen andere bedrijven dan MS ook vervolgen voor het niet adequaat optreden tegen het publiceren van exploits.
Het wordt met de dag erger met Microsoft.
Correctie, het is altijd al zo geweest met Microsoft.
Ik vind het zo jammer dat iedereen altijd zo kort van memory is.
Al meerdere keren aan de orde geweest hoe Microsoft in ieder opzicht de markt bepaalt, kijk alleen al naar het debacle Exchange hoe ze daar de markt mee in de luren heeft gelegd en we blijven het met zijn allen gewoon tolereren en goedpraten, onvoorstelbaar.

Microsoft heeft meerdere keren publiek geprobeerd klanten gerust te stellen over Amerikaanse overheidsinzage en surveillance, vooral rond cloud-data en nationale veiligheidsverzoeken en ziet wat er recent is gebeurd:

Microsoft heeft geen excuses aangeboden aan de Nederlandse overheid voor het delen van gegevens. Het techbedrijf speelde onder de Amerikaanse Cloud Act de namen door van Nederlandse ambtenaren die betrokken zijn bij de handhaving van de Europese Digital Services Act (DSA).

Ik heb ze nog nooit vertrouwd en zal dat ook nooit doen en mijn conclusie is om los te komen van die rommel en zorg dat je baas blijft in eigen huis.
Zo is dat stem met je voeten.
Reageer met quote
Vandaag, 14:26 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Ja en ik hekel de mensen die elkaar maar hekelen om dat het kan. wat een moddergevecht.

Maar Beaumont heeft hier wel een punt. MS is maakt gewoon misbruik van zijn positie.
Volgens mij kunnen andere bedrijven dan MS ook vervolgen voor het niet adequaat optreden tegen het publiceren van exploits.
Het wordt met de dag erger met Microsoft.
Correctie, het is altijd al zo geweest met Microsoft.
Ik vind het zo jammer dat iedereen altijd zo kort van memory is.
Al meerdere keren aan de orde geweest hoe Microsoft in ieder opzicht de markt bepaalt, kijk alleen al naar het debacle Exchange hoe ze daar de markt mee in de luren heeft gelegd en we blijven het met zijn allen gewoon tolereren en goedpraten, onvoorstelbaar.

Microsoft heeft meerdere keren publiek geprobeerd klanten gerust te stellen over Amerikaanse overheidsinzage en surveillance, vooral rond cloud-data en nationale veiligheidsverzoeken en ziet wat er recent is gebeurd:

Microsoft heeft geen excuses aangeboden aan de Nederlandse overheid voor het delen van gegevens. Het techbedrijf speelde onder de Amerikaanse Cloud Act de namen door van Nederlandse ambtenaren die betrokken zijn bij de handhaving van de Europese Digital Services Act (DSA).

Ik heb ze nog nooit vertrouwd en zal dat ook nooit doen en mijn conclusie is om los te komen van die rommel en zorg dat je baas blijft in eigen huis.

Die conclusie onderstreep ik !!!

De geruststelling is niet gegrond https://www.theregister.com/off-prem/2025/07/25/microsoft-exec-admits-it-cannot-guarantee-data-sovereignty/458553
Microsoft (weder)verkopers willen het nog wel een verpakken alsof ze zaken doen met Ierland ipv de VS, ook niet waar.
Er wordt vaak gerefereerd naar en gediscussieerd over het Internationaal Strafhof geval, hoe het precies zit, maar die waren wel halsoverkop weg bij Microsoft dus.
En dat zou iedere weldenkende organisatie en iedere ondernemer/persoon moeten doen.
Nederland is al begonnen, nog niet met daden, wel met woorden, iedereen praat erover.
Lees de kleine letters van de EULA. Ze vinden dat ze ook rechten hebben op basis van oude contracten. Je komt nooit van ze af! Als jij overstapt naar Libreoffice, geloven ze je niet en willen ze een sniffer in je netwerk om te kijken of er toch niet ergens illegaal MSoffice wordt gebruikt.
Reageer met quote
Vandaag, 14:34 door Anoniem
Daar is een woord voor Microslop; "Hypocriet".
Reageer met quote
Vandaag, 14:44 door Anoniem
Door Anoniem:
Als Microsoft nu het melden van lekken koppelt aan het hebben van een account én iemands account afsluit (een punt dat je niet noemde maar dat wel degelijk ook een van de dingen is die hier door elkaar lopen), dan plaatst Microsoft zelf iemand in de positie dat die moet kiezen tussen een gevonden lek niet melden en dat lek meteen publiek maken. Als dat inderdaad is wat hier gebeurd is dan heeft Microsoft zelf in de hand gewerkt dat deze persoon nu lekken direct publiek maakt.

Opmerking op een klein stukje uit het volledig heldere en correct bericht hierboven: Bij microsoft is voor veel zoniet alles een account verplicht, dat geeft ze weer extra macht over je.
Reageer met quote
Vandaag, 16:00 door Anoniem
Microsoft heeft een zwaar Linux probleem. Ik ben volledig 100% Linux gegaan 8 weken terug en nu plots komen de Microsoft meldingen dat ik in moet loggen om defender bij te werken. :)
Bye bye Microslop. It was fun maar nu niet meer en nu zijn er alternatieven. Als iedereen dat nou zou doen. Frankrijk, Duitsland en Denemarken zijn al goed op weg, dan is Microslop verleden tijd.
We kunnen wel klagen over Microsoft en hun producten toch blijven gebruiken omdat we denken dat we niks kunnen doen ertegen maar dan veranderd er dus nooit iets.
Dat Microslop zomaar accounts kan afsluiten en je niet meer bij je data kan (ook eigen schuld dus, backup backup backup) is een zeer kwalijke zaak.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure GenAI Deep Dive Security Training