Jakarta (ANTARA) - Setelah seorang peneliti keamanan mempublikasikan serangkaian celah keamanan yang belum ditambal pada produk-produk Microsoft, beserta kode untuk mengeksploitasinya, perusahaan tersebut kini mengancam akan mengambil langkah hukum dan melibatkan aparat penegak hukum.
Laman TechCrunch, Jumat (29/5) waktu setempat, melaporkan, ancaman dari Microsoft ini kembali memicu perdebatan lama mengenai sejauh mana tanggung jawab peneliti keamanan untuk mengungkap kerentanan yang memengaruhi perusahaan teknologi besar dan kaya.
Pada Rabu (28/5), Microsoft menerbitkan sebuah unggahan blog yang mengkritik peneliti dengan nama samaran “Nightmare Eclipse” karena mengungkapkan secara publik sejumlah celah keamanan, termasuk BlueHammer, RedSun, UnDefend, dan YellowKey.
Kerentanan tersebut memengaruhi produk seperti mesin antivirus bawaan Windows, Defender, serta alat enkripsi disk BitLocker.
Inti keluhan Microsoft adalah peneliti tersebut tidak berupaya melaporkan kerentanan itu agar perusahaan dapat memperbaikinya. Menurut Microsoft, tindakan seperti itulah yang disebut sebagai pengungkapan yang “bertanggung jawab” (responsible).
Di sisi lain, Microsoft juga berargumen bahwa dengan mempublikasikan rincian celah keamanan dan cara mengeksploitasinya sebelum tambalan dirilis, Nightmare Eclipse mungkin telah membantu peretas berbahaya.
Baca juga: Xbox Mode di Windows 11 sudah tersedia
Menurut Microsoft dan badan keamanan siber Amerika Serikat, CISA, beberapa kerentanan yang diungkap Nightmare Eclipse sejak itu telah digunakan oleh peretas dalam serangan nyata.
“Unit Kejahatan Digital kami akan terus membawa kasus terhadap para pelaku ini dan pihak-pihak yang memungkinkan aktivitas kriminal mereka, serta berkoordinasi jika diperlukan dengan aparat penegak hukum di seluruh dunia,” tulis Microsoft.
Menurut situs webnya, Digital Crimes Unit milik Microsoft bertugas melindungi perusahaan melalui berbagai strategi, termasuk tindakan hukum perdata, langkah teknis penanggulangan, rujukan pidana, dan kemitraan publik-swasta.
Dalam serangkaian blog yang diterbitkan selama beberapa minggu terakhir tanpa memberikan banyak rincian spesifik, Nightmare Eclipse mengklaim telah berkomunikasi dengan Microsoft, tetapi perusahaan tersebut diduga memperlakukan mereka dengan buruk.
Salah satu contohnya adalah pencabutan akses ke akun Microsoft Security Response Center milik mereka, yaitu portal tempat para peneliti melaporkan kerentanan kepada raksasa teknologi tersebut.
Nightmare Eclipse mengisyaratkan bahwa mereka tidak memiliki pilihan selain merilis kerentanan tersebut ke publik. Hal itu pada dasarnya berarti kerentanan tersebut menjadi zero-day, istilah khusus untuk celah keamanan yang tidak diketahui oleh pembuat perangkat lunak saat pertama kali diungkap atau dieksploitasi.
Peneliti tersebut mempublikasikan celah-celah keamanan itu di repositori sumber terbuka GitHub (yang dimiliki Microsoft) dan GitLab. Akun mereka di kedua platform tersebut kemudian diblokir.
Baik Nightmare Eclipse maupun Microsoft tidak memberikan tanggapan atas permintaan komentar.
Baca juga: Microsoft umumkan investasi 17,9 miliar dolar AS untuk infrastruktur AI di Australia
Para veteran keamanan siber ingatkan efek jera
Perselisihan publik ini menghidupkan kembali perdebatan lama yang masih cukup kontroversial: apakah peneliti keamanan independen memiliki kewajiban untuk memastikan kerentanan yang mereka temukan benar-benar diperbaiki? Dan sejauh mana mereka harus berupaya agar perusahaan yang produknya rentan benar-benar melakukan perbaikan?
Salah satu bagian dari perdebatan ini sebenarnya sudah diselesaikan dan diakui secara luas, yaitu para peneliti berhak mendapatkan bayaran atas pekerjaan mereka.
Meskipun saat ini terdengar jelas, pengakuan tersebut diperoleh setelah bertahun-tahun perjuangan, yang salah satunya tercermin dalam kampanye tahun 2009 bernama “No More Free Bugs”.
Hampir 20 tahun kemudian, sebagian besar perusahaan, baik kecil maupun besar, memberikan imbalan finansial melalui program "bug bounty", program perburuan celah keamanan yang umumnya berhadiah.
Nilainya saat ini bahkan bisa mencapai ratusan ribu dolar atau lebih bagi peneliti yang mengungkapkan kerentanan secara privat dan berkoordinasi mengenai publikasi detailnya setelah masalah tersebut diperbaiki.
Menanggapi kontroversi terbaru yang melibatkan Nightmare Eclipse, banyak peneliti membagikan pengalaman buruk mereka saat melaporkan kerentanan kepada Microsoft.
Bisa dikatakan bahwa sebagian besar komunitas keamanan siber secara terbuka tidak puas dengan cara Microsoft menangani masalah ini.
Ketidakpuasan tersebut juga datang dari para veteran keamanan siber, termasuk pendiri Luta Security, Katie Moussouris.
Saat bekerja di Microsoft pada pertengahan hingga akhir 2000-an, Moussouris menjadi pelopor program "bug bounty" dan berhasil meyakinkan Microsoft untuk meninggalkan konsep “responsible disclosure” dengan menggambarkan proses tersebut sebagai “coordinated disclosure” (pengungkapan terkoordinasi).
“Penggunaan istilah ‘responsible disclosure’ adalah kesalahan pertama menurut saya,” kata Moussouris, merujuk pada unggahan blog Microsoft.
“Menambahkan ancaman penuntutan dengan menyebut Digital Crimes Unit sudah keterlaluan, dan hanya akan membuat para peneliti keamanan tidak lagi mempercayai Microsoft," katanya.
Moussouris memperingatkan bahwa hilangnya kepercayaan peneliti keamanan terhadap Microsoft dapat menimbulkan efek jera, sehingga semakin sedikit orang yang mau melaporkan kerentanan. Hal itu, menurutnya, akan “membuat kita semua menjadi kurang aman.”
Peneliti keamanan sekaligus mantan karyawan Microsoft, Kevin Beaumont, juga mengkritik Microsoft dalam sebuah unggahan blog. Ia menggambarkan posisi perusahaan tersebut sebagai “kekacauan yang diciptakannya sendiri.”
“Pembuatan dan distribusi bukti konsep (proof-of-concept) eksploit untuk zero-day sekarang dianggap sebagai ‘aktivitas kriminal’?” tulis Beaumont.
“Responsible disclosure sering kali dibingkai untuk melindungi pemilik produk, bukan pelanggan. Menggunakannya untuk mencoba menuntut orang secara pidana adalah titik terendah yang baru," Beaumont menambahkan.
Baca juga: Ketentuan penggunaan Microsoft sebut AI Copilot hanya untuk hiburan
Baca juga: Microsoft ungkap konsol Xbox generasi berikutnya "Project Helix"
Penerjemah: Pamela Sakina
Editor: Mahmudah
Copyright © ANTARA 2026
Dilarang keras mengambil konten, melakukan crawling atau pengindeksan otomatis untuk AI di situs web ini tanpa izin tertulis dari Kantor Berita ANTARA.
