Perseteruan sengit terjadi antara Microsoft dan seorang peneliti keamanan independen setelah serangkaian celah keamanan produk Windows dibongkar ke publik beserta kode eksploitasinya. Merespons tindakan tersebut, raksasa teknologi ini mengancam akan menempuh jalur hukum dan melibatkan penegak hukum global. Langkah agresif Microsoft ini seketika menyulut kembali perdebatan klasik mengenai batasan tanggung jawab etis seorang peretas topi putih (ethical hacker) dalam mengungkap kelemahan sistem milik perusahaan raksasa.
Ketegangan ini memuncak saat Microsoft secara terbuka mengkritik peretas anonim bernama “Nightmare Eclipse.” Peneliti tersebut nekat mempublikasikan cacat sistem krusial seperti BlueHammer, RedSun, UnDefend, dan YellowKey yang berdampak langsung pada proteksi antivirus Windows Defender serta sistem enkripsi BitLocker. Pihak Microsoft menyayangkan sikap sang peneliti yang tidak melaporkan temuan tersebut secara privat terlebih dahulu agar perbaikan atau patch dapat disiapkan demi keamanan pengguna.
Dari sudut pandang Microsoft, tindakan menyebarkan detail kerentanan sebelum adanya perbaikan dinilai sangat berbahaya karena secara tidak langsung membantu melancarkan aksi para peretas jahat. Kekhawatiran ini terbukti setelah badan keamanan siber Amerika Serikat (CISA) mengonfirmasi bahwa beberapa celah yang dibocorkan kini telah dimanfaatkan dalam serangan siber nyata. Guna menekan dampak buruknya, Unit Kejahatan Digital Microsoft menegaskan kesiapan mereka untuk memburu pihak-pihak yang memfasilitasi aktivitas kriminal siber tersebut.
Baca Juga
Advertisement
Di pihak lain, Nightmare Eclipse membela diri dengan mengeklaim bahwa hubungan komunikasi mereka dengan Microsoft berjalan sangat buruk sebelum kebocoran terjadi. Peneliti tersebut mengaku mendapatkan perlakuan tidak adil, termasuk pemblokiran akses ke portal pelaporan resmi milik Microsoft. Akibat ruang koordinasi yang tertutup, sang peneliti merasa tidak punya opsi lain selain merilis temuan itu ke publik, yang seketika mengubah status kerentanan tersebut menjadi ancaman fatal berkategori zero-day.
Dampak dari aksi saling balas ini kian meluas setelah akun repositori sumber terbuka milik Nightmare Eclipse di GitHub dan GitLab mengalami pembekuan massal. Hingga informasi ini diturunkan, kedua belah pihak masih memilih bungkam dan tidak memberikan respons saat dimintai keterangan lebih lanjut. Kendati demikian, perselisihan ini telanjur menghidupkan kembali polemik lama tentang seberapa jauh komitmen yang harus dipenuhi seorang peneliti independen dalam mengawal proses perbaikan sistem.
Jika menilik sejarahnya, komunitas siber sebenarnya telah menyepakati bahwa keahlian para pemburu celah keamanan (bug hunter) ini layak mendapatkan kompensasi finansial yang setimpal. Perjuangan panjang yang dimulai sejak gerakan “No More Free Bugs” puluhan tahun silam kini telah membuahkan hasil berupa program bug bounty bernilai fantastis. Perusahaan-perusahaan besar bahkan rela menggelontorkan ratusan ribu dolar bagi siapa saja yang mau melaporkan kelemahan sistem secara rahasia dan terkoordinasi.
Baca Juga
Advertisement
Namun, respons keras Microsoft dalam kasus terbaru ini justru memicu gelombang solidaritas dan kritik tajam dari komunitas siber serta para veteran industri keamanan. Katie Moussouris, sang pelopor program insentif keamanan, menilai langkah Microsoft yang menggunakan narasi ancaman pidana dan sebutan “tidak bertanggung jawab” adalah blunder besar. Ia memperingatkan bahwa tekanan hukum semacam ini berpotensi merusak kepercayaan para peneliti dan memicu efek jera yang justru membuat ekosistem digital menjadi semakin rapuh.
Nada kecaman serupa juga datang dari Kevin Beaumont, mantan personel keamanan Microsoft, yang menilai perusahaan mantan tempatnya bekerja tengah terjebak dalam kekacauan yang mereka ciptakan sendiri. Menurutnya, mengkategorikan pembuatan bukti konsep eksploitasi (proof-of-concept) sebagai tindakan kriminal adalah sebuah kemunduran besar. Ia mengingatkan bahwa konsep pelaporan satu pintu sering kali disalahgunakan hanya untuk melindungi reputasi korporasi, bukan demi keselamatan pelanggan.
Baca Juga
Advertisement
Cek berita teknologi, review gadget dan video Gadgetdiva.id di Google News. Baca berita otomotif untuk perempuan di Otodiva.id, kalau butuh in-depth review gadget terkini kunjungi Gizmologi.id. Bagi yang suka jalan-jalan, wajib baca Traveldiva.id.