Mengapa Microsoft Menarik Ancaman Hukum terhadap Peneliti Zero-Day Nightmare Eclipse

Tiga dari enam celah dengan cepat dikonfirmasi sedang dieksploitasi secara aktif: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), dan UnDefend (CVE-2026-45498) . CISA menambahkannya ke dalam katalog Kerentanan yang Diketahui Dieksploitasi, yang mewajibkan badan-badan federal untuk menerapkan tambalan darurat . Microsoft menambal BlueHammer dalam siklus Patch Tuesday 14 April dan merilis perbaikan di luar jadwal untuk RedSun dan UnDefend pada 21 Mei setelah serangan aktif dilaporkan . Tiga celah sisanya — YellowKey (pintasan BitLocker, CVE-2026-45585), GreenPlasma, dan MiniPlasma — masih belum ditambal hingga awal Juni .

Peneliti tersebut mengklaim memiliki riwayat keluhan terhadap penanganan celah oleh Microsoft. Nightmare Eclipse menduga bahwa laporan sebelumnya yang dikirim melalui saluran resmi telah diabaikan atau ditangani dengan buruk, dan bahwa pembayaran bug bounty — dilaporkan hingga $250.000 untuk eksploitasi Hyper-V — ditahan . Sebaliknya, Microsoft menyatakan bahwa peneliti tersebut gagal melaporkan celah-celah itu melalui saluran resmi sebelum dipublikasikan .

Bagaimana Microsoft meningkatkan konflik

Situasi meningkat secara dramatis pada minggu terakhir bulan Mei. Sekitar 23 Mei, akun GitHub Nightmare Eclipse diskors. Peneliti itu kemudian dilarang dari GitLab sekitar 26–27 Mei . Beroperasi dari blog pribadi, peneliti itu mengancam akan merilis eksploitasi tambahan yang "menghancurkan tulang" pada 14 Juli 2026 — Patch Tuesday berikutnya .

Pada 27 Mei, MSRC Microsoft menerbitkan sebuah pos blog berjudul "A Shared Responsibility: Protecting customers through Coordinated Vulnerability Disclosure" (Tanggung Jawab Bersama: Melindungi pelanggan melalui Pengungkapan Kerentanan Terkoordinasi) . Pos tersebut mengutuk pengungkapan yang tidak terkoordinasi, menyatakan bahwa "pengungkapan tidak terkoordinasi yang menempatkan kode proof-of-concept untuk kerentanan yang belum ditambal ke tangan aktor jahat tidak pernah dapat dibenarkan dan memiliki konsekuensi di dunia nyata" .

Sebuah bagian tertentu memicu kekhawatiran di seluruh komunitas keamanan:

"Unit Kejahatan Digital kami akan terus mengajukan kasus terhadap para aktor ini dan mereka yang memungkinkan aktivitas kriminal mereka — berkoordinasi sesuai kebutuhan dengan penegak hukum di seluruh dunia" .

Meskipun Microsoft tidak menyebutkan nama Nightmare Eclipse secara langsung, konteks pos tersebut — respons langsung terhadap kampanye zero-day yang sedang berlangsung — membuat banyak peneliti keamanan menafsirkannya sebagai ancaman hukum spesifik terhadap peneliti tersebut .

Komunitas keamanan siber meledak

Reaksi yang terjadi sangat cepat dan sangat negatif. Para peneliti keamanan, komentator industri, dan publikasi teknologi besar menuduh Microsoft menggunakan taktik intimidasi yang dapat membungkam penelitian keamanan yang sah .

Banyak outlet berita menerbitkan liputan kritis dalam hitungan hari. Judul TechCrunch berbunyi "Microsoft under fire for threatening security researcher with criminal investigation" (Microsoft dikritik karena mengancam peneliti keamanan dengan investigasi kriminal) . Windows Central melaporkan ketakutan pribadi peneliti dengan judul "They will ruin my life" (Mereka akan menghancurkan hidup saya) . The Register, Security Affairs, CSO Online, dan Times of India semuanya meliput reaksi balik tersebut, dengan outlet internasional mencatat "kemarahan" dan "kegemparan" di komunitas keamanan siber .

Tema sentral dalam kritik: para peneliti berargumen bahwa sikap hukum Microsoft merusak kepercayaan terhadap proses pengungkapan terkoordinasi itu sendiri. Jika peneliti takut akan pembalasan hukum, mereka mungkin akan berhenti melaporkan bug melalui saluran resmi sama sekali . Beberapa komentator mencatat ironi bahwa Microsoft mengancam seorang peneliti sementara tiga dari enam celah yang diungkapkan masih belum ditambal .

Peneliti keamanan Kevin Beaumont secara terbuka menyoroti penanganan situasi oleh Microsoft, mempertanyakan proporsionalitas respons perusahaan . Pandangan konsensus mengerucut pada gagasan bahwa Microsoft telah memicu eskalasi dengan salah menangani laporan awal peneliti dan kemudian memperburuk masalah dengan gertakan hukum .

Kemunduran 2 Juni

Pada 2 Juni 2026, Microsoft berbalik arah. Dalam sebuah pernyataan yang diposting ke platform media sosial X dan dilaporkan oleh banyak outlet, perusahaan itu menyatakan: "Untuk memperjelas pendekatan kami terhadap masalah hukum, kami tidak berniat mengambil tindakan terhadap individu yang melakukan atau mempublikasikan penelitian keamanan mereka" .

Pernyataan ini secara langsung bertentangan dengan bahasa Unit Kejahatan Digital dari pos blog 27 Mei. Microsoft mencoba membingkai komunikasi mereka sebelumnya sebagai pernyataan umum tentang praktik pengungkapan terkoordinasi, bukan sebagai ancaman spesifik terhadap Nightmare Eclipse .

Blog teknologi Jerman BornCity menggambarkan pembalikan itu sebagai Microsoft "sedikit mundur" setelah "badai kritik" yang dipicu oleh pos MSRC . Publikasi industri iTnews melaporkan bahwa langkah itu "muncul setelah reaksi keras dari para peneliti keamanan" .

Apa arti sebenarnya dari kemunduran ini

Pernyataan 2 Juni paling tepat dipahami sebagai langkah pengendalian kerusakan, bukan perombakan kebijakan. Microsoft tidak berkomitmen untuk mengubah ekspektasi pengungkapan kerentanannya, juga tidak menangani klaim mendasar peneliti tentang laporan yang salah tangani dan bounty yang belum dibayar. Perusahaan itu menarik kembali ancaman hukumnya sambil mempertahankan posisinya bahwa pengungkapan tidak terkoordinasi itu tidak bertanggung jawab .

Reaksi dari komunitas peneliti mencerminkan skeptisisme ini. Banyak yang melihat klarifikasi itu sebagai kemunduran taktis yang didorong oleh tekanan publik daripada komitmen tulus untuk melindungi hak-hak peneliti . Status YellowKey, GreenPlasma, dan MiniPlasma yang belum terselesaikan — semuanya masih belum ditambal hingga awal Juni — terus memicu kritik bahwa prioritas Microsoft tidak selaras .

Episode ini mengekspos ketegangan mendalam dalam norma pengungkapan kerentanan. Pengungkapan terkoordinasi bergantung pada kepercayaan: peneliti melaporkan bug secara pribadi, dan vendor menambalnya dalam jangka waktu yang wajar. Ketika salah satu pihak merasakan kerusakan dalam kesepakatan itu — baik melalui laporan yang diabaikan, bounty yang ditahan, atau ancaman hukum — seluruh sistem menjadi rapuh. Tiga faktor memaksa tangan Microsoft: volume dan kecepatan kemarahan komunitas, ancaman peneliti tentang pembuangan eksploitasi yang lebih besar pada 14 Juli, dan ketidaknyamanan optik mengancam tindakan hukum sementara tambalannya sendiri masih belum lengkap.