berita.akasta.ac.id – Microsoft saat ini menghadapi kritik tajam terkait penanganan eksploitasi zero-day. Dalam situasi ini, seseorang yang menggunakan nama Nightmare Eclipse terlibat dalam perseteruan publik dengan perusahaan tersebut, dengan memposting kode eksploitasi yang berfungsi sebagai bukti konsep. Beberapa unggahan dari individu tersebut menunjukkan bahwa mereka kemungkinan adalah mantan karyawan yang tidak puas. Namun yang menjadi sorotan peneliti keamanan siber, Kevin Beaumont, adalah bagaimana Microsoft menanggapi situasi tersebut.
Microsoft menyampaikan rencananya untuk mengambil tindakan hukum terhadap Nightmare Eclipse, dengan alasan bahwa individu ini tidak mengikuti “koordinasi yang tepat” dalam mengungkapkan kerentanan. Selain itu, Microsoft telah menonaktifkan akun Nightmare Eclipse di GitHub, GitLab, dan pusat respons keamanan mereka. Menurut Beaumont, penangguhan tersebut membuat sulit bagi individu itu untuk melaporkan kerentanan di masa depan secara “bertanggung jawab.”
Beaumont juga mencatat bahwa hal yang lebih mencemaskan adalah kenyataan bahwa Microsoft telah mempekerjakan individu-individu yang sebelumnya melakukan tindakan serupa, termasuk mengungkapkan eksploitasi zero-day di publik, beberapa di antaranya memiliki catatan kriminal terkait peretasan. Microsoft juga diketahui telah membeli eksploit dari para perantara, yang semakin memperumit posisi mereka dalam masalah ini.
Di tengah kontroversi ini, Beaumont berpendapat bahwa jika strategi Microsoft adalah untuk mengkriminalisasi ketidakpatuhan terhadap kerangka “pengungkapan yang bertanggung jawab” yang sering kali dianggap sewenang-wenang, mereka mungkin akan menghadapi tantangan besar di pengadilan. Keputusan-keputusan sebelumnya yang dibuat oleh Microsoft dan fakta-fakta yang akan terungkap dalam proses tersebut menjadi perhatian utama dalam perdebatan ini.
