Microsoft Ancam Peneliti, Bocoran Celah Keamanan Picu Geger

Harianjogja.com, JAKARTA— tengah menjadi sorotan setelah mengancam akan menempuh jalur hukum terhadap seorang peneliti keamanan siber anonim yang mempublikasikan sejumlah celah serius (zero-day) pada produknya.

Kasus ini kembali memicu perdebatan global mengenai batas tanggung jawab peneliti keamanan dalam mengungkap kerentanan sistem teknologi besar.

Celah Keamanan Dipublikasikan ke Publik

Peneliti dengan nama samaran “Nightmare Eclipse” mengungkap sejumlah kerentanan berbahaya, seperti BlueHammer, RedSun, UnDefend, dan YellowKey. Celah ini berdampak pada produk penting Microsoft, termasuk antivirus bawaan Windows Defender serta sistem enkripsi BitLocker.

Yang menjadi masalah, peneliti tersebut tidak mengikuti prosedur standar pelaporan atau coordinated disclosure, yaitu melaporkan kerentanan secara privat agar perusahaan memiliki waktu untuk memperbaikinya sebelum dipublikasikan.

Sebaliknya, Nightmare Eclipse langsung merilis detail teknis beserta kode eksploitasi ke platform terbuka seperti GitHub dan GitLab.

Microsoft: Bisa Bantu Peretas

Microsoft menilai langkah tersebut berpotensi membahayakan pengguna secara luas. Menurut perusahaan, publikasi celah tanpa tambalan justru membuka peluang bagi peretas untuk melakukan serangan siber.

Bahkan, bersama badan keamanan siber Amerika Serikat, CISA, Microsoft mengungkap bahwa beberapa celah tersebut sudah digunakan dalam serangan nyata.

Melalui Digital Crimes Unit, Microsoft menegaskan siap mengambil tindakan hukum dan bekerja sama dengan aparat penegak hukum internasional untuk menangani kasus ini.

Peneliti Klaim Sudah Coba Berkomunikasi

Di sisi lain, Nightmare Eclipse mengaku telah mencoba berkomunikasi dengan Microsoft, namun tidak mendapatkan respons yang memadai. Bahkan, akses mereka ke portal pelaporan resmi Microsoft disebut telah dicabut.

Hal ini membuat peneliti merasa tidak memiliki pilihan selain membuka kerentanan tersebut ke publik—yang kemudian menjadikannya sebagai zero-day.

Tak lama setelah publikasi, akun mereka di GitHub dan GitLab langsung diblokir.

Komunitas Keamanan Siber Bereaksi

Kontroversi ini memicu reaksi keras dari komunitas keamanan siber global. Banyak peneliti menilai pendekatan Microsoft dapat merusak kepercayaan dan kolaborasi antara perusahaan teknologi dan peneliti independen.

, pendiri Luta Security sekaligus pelopor program bug bounty di Microsoft, menyebut penggunaan istilah “responsible disclosure” sebagai keliru.

Menurutnya, ancaman hukum justru dapat menciptakan efek jera yang membuat peneliti enggan melaporkan celah keamanan di masa depan.

Hal senada disampaikan , mantan karyawan Microsoft, yang menyebut situasi ini sebagai “kekacauan yang diciptakan sendiri oleh perusahaan.”

Risiko Besar bagi Keamanan Global

Para pakar mengingatkan bahwa jika hubungan antara perusahaan teknologi dan peneliti memburuk, maka risiko keamanan justru meningkat. Minimnya laporan kerentanan akan membuat sistem lebih rentan terhadap serangan siber.

Selama ini, banyak perusahaan mengandalkan program bug bounty dengan imbalan besar untuk mendorong peneliti melaporkan celah secara bertanggung jawab.

Namun, kasus ini menunjukkan bahwa kepercayaan tetap menjadi faktor kunci dalam ekosistem keamanan digital.

Kasus Microsoft vs Nightmare Eclipse menjadi pengingat bahwa transparansi, komunikasi, dan kolaborasi adalah fondasi utama dalam menjaga keamanan siber global.

Jika konflik seperti ini terus berlanjut, bukan tidak mungkin justru pengguna yang akan menjadi pihak paling dirugikan.

Cek Berita dan Artikel yang lain di Harian Jogja, dan edisi cetak versi elektronik kami hadir di Epaper Harian Jogja.

Sumber : Antara