Senator Amerika Serikat Ron Wyden melayangkan surat resmi kepada Komisi Perdagangan Federal (FTC) untuk menyelidiki dugaan kelalaian keamanan siber yang dilakukan Microsoft. Ia menuding perusahaan raksasa teknologi itu gagal melindungi pelanggan dari ancaman ransomware akibat masih mendukung algoritma enkripsi lama, RC4, pada sistem operasi Windows.
Hasil investigasi kantor Wyden terhadap serangan ransomware yang menimpa penyedia layanan kesehatan Ascension tahun lalu menunjukkan bahwa penggunaan RC4 menjadi penyebab utama kebocoran. Serangan tersebut bermula dari seorang kontraktor yang mengklik tautan berbahaya, memungkinkan peretas menyebarkan ransomware ke ribuan komputer di jaringan Ascension dan mencuri data 5,6 juta pasien.
Wyden menilai Microsoft tidak transparan karena tetap mendukung RC4, padahal teknik enkripsi tersebut sudah diketahui memiliki kelemahan sejak 1994. RC4 bahkan masih digunakan untuk mengamankan Active Directory, komponen penting Windows yang dipakai administrator sistem untuk mengelola akun pengguna.
“Karena keputusan rekayasa perangkat lunak Microsoft yang berbahaya, satu klik saja dari karyawan bisa membuat seluruh jaringan rumah sakit lumpuh akibat ransomware,” ujar Wyden. Ia menambahkan bahwa Microsoft tampak lebih fokus menjual layanan keamanan tambahan ketimbang memastikan produknya aman sejak awal. Analogi yang ia pakai cukup keras: Microsoft seperti “seorang pembakar yang menjual jasa pemadam kebakaran kepada korbannya.”
Microsoft membalas tuduhan ini dengan menyatakan bahwa RC4 hanya digunakan pada kurang dari 0,1% lalu lintas mereka dan sudah ada rencana untuk menonaktifkannya secara bertahap. Mereka juga mengumumkan bahwa mulai kuartal pertama 2026, semua instalasi baru Active Directory di Windows Server 2025 akan menonaktifkan RC4 secara default.
Kasus ini menyoroti pentingnya akuntabilitas perusahaan teknologi raksasa. Keamanan siber bukan sekadar tambahan, tetapi kebutuhan pokok. Langkah Microsoft untuk menonaktifkan RC4 patut diapresiasi, tetapi keterlambatan mereka bisa berarti banyak organisasi sudah terlanjur menjadi korban. Ke depan, kolaborasi antara regulator, penyedia teknologi, dan pengguna harus ditingkatkan agar serangan siber semacam ini tidak terulang.