Microsoft mengancam tindakan hukum setelah peneliti mempublikasikan bug yang belum ditambal beserta kode eksploit
Microsoft mendapat sorotan terkait sengketa pengungkapan
Microsoft menghadapi kritik setelah memperingatkan bahwa mereka mungkin menempuh tindakan hukum dan melibatkan penegak hukum terhadap seorang peneliti keamanan yang secara publik mengungkapkan serangkaian kerentanan yang belum ditambal di produk-produknya, beserta proof-of-concept kode eksploit.
Dalam sebuah posting blog yang diterbitkan Rabu, perusahaan mengkritik peneliti yang menggunakan nama samaran “Nightmare Eclipse” karena memublikasikan rincian bug yang menurutnya memengaruhi produk termasuk Windows Defender dan BitLocker. Microsoft mengatakan pengungkapan itu tidak “bertanggung jawab” karena celah tersebut belum ditambal sebelum informasi itu dipublikasikan.
Respons perusahaan telah menyalakan kembali perdebatan panjang tentang bagaimana peneliti keamanan harus menangani kerentanan di platform perangkat lunak besar, terutama ketika celah tersebut memengaruhi alat yang banyak digunakan dari perusahaan sebesar Microsoft.
Microsoft mengatakan beberapa kerentanan yang diungkap oleh Nightmare Eclipse sejak itu telah digunakan oleh peretas dalam serangan dunia nyata, menurut perusahaan dan lembaga keamanan siber AS, CISA. Microsoft juga mengatakan Digital Crimes Unit mereka akan terus mengejar kasus terhadap mereka yang diyakini berkontribusi pada aktivitas kriminal, termasuk melalui koordinasi dengan penegak hukum.
Nightmare Eclipse, dalam serangkaian posting blog selama beberapa minggu terakhir, mengklaim telah berkomunikasi dengan Microsoft dan mengatakan perusahaan memperlakukan mereka dengan tidak semestinya. Peneliti itu menuduh Microsoft mencabut akses ke akun Microsoft Security Response Center mereka, portal yang digunakan peneliti untuk melaporkan kerentanan. Itu, menurut peneliti, membuat pengungkapan publik menjadi satu-satunya opsi.
Bug tersebut kemudian dipublikasikan di repositori sumber terbuka, di mana mereka disertai kode yang dimaksudkan untuk menunjukkan bagaimana bug itu bisa dieksploitasi. Setelah diungkapkan tanpa adanya tambalan, isu-isu itu menjadi zero-days — cacat yang tidak diketahui pembuat perangkat lunak pada saat pengungkapan atau eksploitasi.
Kritik Microsoft berpusat pada argumen bahwa peneliti seharusnya melaporkan bug secara privat lebih dulu. Posisi peneliti, seperti yang disajikan dalam posting blog, adalah bahwa penanganan Microsoft atas situasi itu tidak meninggalkan jalan bermakna untuk pengungkapan yang bertanggung jawab. Sengketa ini kini menempatkan proses respons keamanan Microsoft di bawah pengawasan, sekaligus memunculkan pertanyaan baru tentang batas antara riset kepentingan publik dan tindakan yang dapat membantu penyerang.
Sumber:
Jelajah secara pribadi dengan Doppler VPN — tanpa log, sambungan satu ketuk.