Mengapa Microsoft Mengundurkan Diri daripada Tindakan Undang-Undang Terhadap Penyelidik Zero-Day Nightmare Eclipse

Tiga daripada enam kerentanan itu dengan pantas disahkan sedang dieksploitasi secara aktif dalam serangan siber sebenar: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), dan UnDefend (CVE-2026-45498) . Agensi Keselamatan Siber Amerika Syarikat (CISA) memasukkannya ke dalam katalog Kerentanan Tereksploitasi Diketahui, mengeluarkan arahan kepada semua agensi kerajaan persekutuan untuk menampal kelemahan tersebut dengan segera . Microsoft berjaya menampal BlueHammer dalam kitaran Patch Tuesday pada 14 April, dan terpaksa mengeluarkan pembaikan kecemasan di luar jadual untuk RedSun dan UnDefend pada 21 Mei selepas laporan serangan aktif .

Namun, tiga lagi — YellowKey, GreenPlasma, dan MiniPlasma — kekal tidak ditampal sehingga awal Jun, mendedahkan jutaan pengguna kepada risiko .

Penyelidik itu mendakwa mempunyai dendam yang lama terhadap cara Microsoft mengendalikan laporan kerentanan. Nightmare Eclipse mendakwa bahawa laporan terdahulunya melalui saluran rasmi diabaikan atau disalah kendalikan, dan bayaran 'bug bounty' — dilaporkan mencecah RM1.1 juta (AS$250,000) untuk eksploitasi Hyper-V — ditahan . Sebaliknya, Microsoft menegaskan penyelidik itu gagal melaporkan kerentanan melalui saluran rasmi sebelum penerbitan .

Bagaimana Microsoft meningkatkan konflik

Keadaan menjadi lebih genting pada minggu terakhir Mei. Sekitar 23 Mei, akaun GitHub Nightmare Eclipse digantung. Ini diikuti dengan larangan di GitLab kira-kira pada 26–27 Mei . Kini hanya beroperasi dari blog peribadi, penyelidik itu membalas dengan ugutan pelepasan eksploitasi "yang menghancurkan tulang" (bone shattering) yang dijadualkan pada 14 Julai 2026 — bersamaan dengan hari 'Patch Tuesday' seterusnya .

Pada 27 Mei, MSRC Microsoft menerbitkan catatan blog bertajuk "A Shared Responsibility: Protecting customers through Coordinated Vulnerability Disclosure" . Catatan itu mengecam keras pendedahan yang tidak terselaras, menyatakan bahawa "pendedahan tidak terselaras yang meletakkan kod bukti-konsep untuk kerentanan yang tidak ditampal ke tangan pihak jahat tidak pernah wajar dan mempunyai akibat dunia nyata" .

Satu petikan khusus dalam catatan itu mencetuskan loceng penggera di seluruh dunia keselamatan siber:

"Unit Jenayah Digital kami akan terus membawa kes terhadap pelaku ini dan mereka yang membolehkan aktiviti jenayah mereka — berkoordinasi mengikut keperluan dengan penguatkuasa undang-undang di seluruh dunia" .

Walaupun Microsoft tidak menamakan Nightmare Eclipse secara langsung, konteks catatan itu — respons langsung terhadap kempen zero-day yang sedang berlangsung — membuatkan ramai penyelidik mentafsirkannya sebagai ugutan undang-undang khusus terhadap individu tersebut .

Komuniti keselamatan siber 'meletus'

Reaksinya pantas dan sangat negatif. Penyelidik keselamatan, pengulas industri, dan penerbitan teknologi utama menuduh Microsoft menggunakan taktik intimidasi yang boleh membantutkan penyelidikan keselamatan yang sah .

Pelbagai media melaporkan liputan kritikal dalam masa beberapa hari. Tajuk berita TechCrunch berbunyi "Microsoft di bawah kecaman kerana mengugut penyelidik keselamatan dengan siasatan jenayah" . Windows Central melaporkan ketakutan peribadi penyelidik itu dengan tajuk "Mereka akan memusnahkan hidup saya" . The Register, Security Affairs, CSO Online, dan The Times of India semuanya melaporkan tentang "kemarahan" dan "kegemparan" dalam komuniti keselamatan siber .

Tema utama kritikan ini: penyelidik berhujah bahawa pendirian perundangan Microsoft telah merosakkan kepercayaan terhadap proses pendedahan terselaras itu sendiri. Jika penyelidik takut akan tindakan balas undang-undang, mereka mungkin akan berhenti melaporkan pepijat melalui saluran rasmi sepenuhnya . Beberapa pengulas turut menyatakan ironi bahawa Microsoft mengugut seorang penyelidik sementara tiga daripada enam kerentanan yang didedahkan masih belum ditampal .

Penyelidik keselamatan terkemuka, Kevin Beaumont, secara terbuka menunding jari kepada cara Microsoft mengendalikan situasi itu, mempersoalkan kadar tindak balas yang tidak seimbang . Pandangan majoriti bersatu: Microsoft sendiri yang mencetuskan krisis ini dengan salah mengendalikan laporan awal penyelidik, kemudian memburukkan lagi masalah dengan 'hunus pedang' perundangan .

Pengunduran pada 2 Jun

Pada 2 Jun 2026, Microsoft mengubah haluan. Dalam satu kenyataan yang disiarkan di platform media sosial X dan dilaporkan oleh pelbagai saluran, syarikat itu mengisytiharkan: "Untuk jelasnya tentang pendekatan kami terhadap perkara undang-undang, kami tidak berniat untuk mengambil tindakan terhadap individu yang menjalankan atau menerbitkan penyelidikan keselamatan mereka" .

Kenyataan itu secara langsung bercanggah dengan bahasa 'Unit Jenayah Digital' dari catatan blog 27 Mei. Microsoft cuba membingkaikan komunikasi awalnya sebagai kenyataan umum tentang amalan pendedahan terselaras, bukannya ancaman khusus terhadap Nightmare Eclipse .

Blog teknologi Jerman, BornCity, menyifatkan pengunduran ini sebagai Microsoft "mengayuh ke belakang sedikit" selepas "ribut kecaman" yang dicetuskan oleh catatan MSRC . Penerbitan industri iTnews melaporkan bahawa langkah itu "hadir selepas gelombang bantahan kuat daripada penyelidik keselamatan" .

Apa makna pengunduran ini sebenarnya

Kenyataan 2 Jun paling tepat difahami sebagai langkah pengendalian kerosakan (damage-control), bukannya rombakan polisi. Microsoft tidak komited untuk mengubah jangkaan pendedahan kerentanannya, mahupun menangani dakwaan asas penyelidik mengenai laporan yang disalahtadbir dan bayaran 'bounty' yang tidak dijelaskan. Syarikat itu hanya menarik balik ugutan undang-undang sambil mengekalkan pendirian bahawa pendedahan tidak terselaras adalah tidak bertanggungjawab .

Reaksi daripada komuniti penyelidik mencerminkan skeptisisme ini. Ramai yang melihat penjelasan ini sebagai pengunduran taktikal yang didorong oleh tekanan awam, bukannya komitmen tulen untuk melindungi hak penyelidik . Status YellowKey, GreenPlasma, dan MiniPlasma yang masih belum diselesaikan — semuanya masih tidak ditampal pada awal Jun — terus menyemarakkan kritikan bahawa keutamaan Microsoft adalah tidak tepat .

Episod ini mendedahkan ketegangan mendalam dalam norma pendedahan kerentanan. Pendedahan terselaras bergantung pada kepercayaan: penyelidik melaporkan pepijat secara peribadi, dan vendor menampalnya dalam jangka masa yang munasabah. Apabila mana-mana pihak merasakan 'perjanjian sosial' ini dilanggar — sama ada melalui laporan yang diabaikan, bayaran yang ditahan, atau ugutan undang-undang — keseluruhan sistem menjadi rapuh. Tiga faktor utama memaksa tangan Microsoft: jumlah dan kelajuan kemarahan komuniti, ancaman penyelidik tentang 'longgokan' eksploitasi yang lebih besar pada 14 Julai, dan 'imej' tidak selesa yang terpancar apabila sebuah syarikat mengugut tindakan undang-undang sementara tampalannya sendiri masih tidak lengkap.