Учитывая ресурсы Китая и историю взаимоотношений с Тайванем, я вообще не удивлюсь, что там куча купленного и подпресованного народа работает по разным компаниям.

Да, подходы действительно интересные

Что меня настораживает(но и радует), так то что у них
- четко настроены процессы внутри
- у них 50 чел в компании за 15+ лет, все друг друга знают, там чаще всего звезды своих сфер, нет даже миддлов
- у них несколько продуктов(basecamp, ruby on rails, hey)

Так что этот фреймворк может не выйти натянуть на реалии других компаний/команд

Моя первая мысль была, что поломали тайваньцев, но атаки начались ровно после репорта в мс

Это может и нетехническими причинами объясняться. Инфа могла уйти через условную почту (мало ли из какого места они ее сливают), плюс - после репорта у них оставались сутки-двое до массового апдейта всего подряд, а значит ждать уже было нельзя, возможно они надеялись\планировали, что репорт не уйдет так быстро. Короче тут много "если", но у меня более чем достаточно объяснений для этой ситуации и без взлома системы репортов MS.

В конце концов это могло быть банальным совпадением и атака готовилась несколько дней.

Ну это более сложные объяснения, никто их не исключает, как и совпадения

Ну так уж себе более сложные. Вероятность практически одновременного взлома двух очень важных систем одной компании (и соответственно их раскрытия) пожалуй я бы не оценивал так высоко:)

MSRC однозначно проще сломать, чем машину тайваньца, поскольку поверхность атаки в разы больше (достаточно поломать любого, кто имеет туда доступ, либо само приложение)

Тут важно понимать, что уязвимости - одноразовая ценность по сути.

А зачем ломать? Достаточно информатора с доступом к какому-то срезу данных исследователей.

Ну это то же самое

Не совсем

Продолбать возможно единственную известную 0-day уязвимость в системе тикетов в целом выглядит дороже, чем рискнуть не самым высокопоставленным кротом, тем более в такой суете. Я бы поставил на уязвимость, если бы авторами были не тайваньцы. Но вот уж у них китаю выковорить данные сильно проще (и безопаснее), чем у заокеанской компании.

Но это все домыслы конечно. Посмотрим, какой вариант они согласуют как официальный (а в этом случае я почти уверен что это будет согласованное решение, а не просто публикация реального результата и решение это может совпадать, а может и не совпадать с результатами расследования).

Если б я был тайваньцем и хотел продать, я бы тоже дождался репорта сначала

Не думаю что это продажа. Если и она - то по долгосрочному каналу, слишком маленькие тайминги, плюс исследователи по безопасности наверняка мониторят подавляющее большинство площадок, где можно продать подобное.  А долгосрочный канал - это уже малореально, там у принимающей стороны в лице Китая было бы достаточно времени, чтобы взять поставщика за задницу хорошенько.

Оно явно ушло адресно, по известному контакту и на основе предворительных договоренностей вне публичного (в рамках рынка подобного) поля.

Ну или MS настолько невезучие, что у них оказалось аж 2 дыры в системе:)

Просто сам представь - к тебе попадает подобная информация, ты хочешь ее монетизировать, сумма огромная (пусть даже в битках), у тебя буквально пара дней. Какова верятность того, что ты набредешь на какого-то китайца на площадке, которую не знают исследователи (иначе бы факт всплыл) и он тебе предложит такую сумму? Малореально, очень. Действие по-умолчанию - выставить на публичную площадку, кто-нить найдется, может сама МС и купит через подставных. Но этого не было. Да и ты должен понимать, что оно сразу станет публичным и оно вероятно ушло (или вот вот уйдет) в МС и все попатчат.
С другой стороны, то же самое, но у тебя налаженная связь информатора. Данные попадают в руки -> куратор -> использование (что мы и видим). Премию он может и получит, но не с таким количеством нолей:)

может продали, заюзали как надо, а потом слили - чтобы другие заюзать не смогли?