Microsoft Kucurkan Rp36,8 Miliar untuk Temuan Celah Cloud dan AI di Zero Day Quest
Microsoft telah memberikan penghargaan dengan total nilai fantastis sebesar USD 2,3 juta (sekitar Rp36,8 miliar) kepada para peneliti keamanan. Penghargaan ini diberikan setelah perusahaan menerima hampir 700 laporan kerentanan selama kontes peretasan Zero Day Quest tahun ini.
Wakil Presiden Teknik di Microsoft Security Response Center (MSRC), Tom Gallagher, mengungkapkan bahwa selama acara langsung yang digelar di kampus Microsoft Redmond tersebut, ditemukan lebih dari 80 cacat keamanan. Puluhan celah ini diklasifikasikan sebagai kerentanan keamanan cloud dan kecerdasan buatan (AI) yang berdampak tinggi.
“Selama acara peretasan langsung tahun 2026, Microsoft bermitra dengan komunitas riset keamanan global, yang mewakili lebih dari 20 negara dan berbagai latar belakang profesional, mulai dari siswa sekolah menengah hingga profesor perguruan tinggi,” ujar Gallagher.
“Para peneliti melakukan semua pengujian di dalam lingkungan yang sah sesuai dengan Aturan Keterlibatan (Rules of Engagement) Microsoft, mendemonstrasikan potensi dampak tanpa mengakses data pelanggan atau sistem tenant lainnya. Di dalam batasan ini, para peneliti berhasil mengidentifikasi jalur-jalur kritis yang melibatkan paparan kredensial, rantai SSRF (Server-Side Request Forgery), dan akses lintas-tenant.”
Evolusi Zero Day Quest dan Inisiatif SFI
Ajang peretasan elit ini memang telah dipersiapkan dengan matang. Pada bulan Agustus tahun lalu, Microsoft mengumumkan bahwa mereka akan meningkatkan total hadiah atau prize pool pada kontes peretasan Zero Day Quest tahun ini menjadi USD 5 juta dalam bentuk hadiah bounty. Angka tersebut membuat Microsoft berani mengklaimnya sebagai “acara peretasan terbesar dalam sejarah”.
Tingkat partisipasi komunitas tahun ini sebenarnya mengikuti tren positif dari tahun sebelumnya. Pada Zero Day Quest 2025, kompetisi ini juga berhasil menarik partisipasi signifikan setelah Microsoft menawarkan total hadiah senilai USD 4 juta untuk temuan kerentanan pada produk dan platform cloud serta AI mereka. Kala itu, setelah kompetisi usai, Microsoft mengumumkan telah membayarkan USD 1,6 juta hadiah dari hasil penerimaan lebih dari 600 laporan kerentanan.
Kontes Zero Day Quest ini merupakan salah satu pilar utama dari Secure Future Initiative (SFI) Microsoft. SFI adalah upaya rekayasa keamanan siber berskala masif yang diluncurkan pada bulan November 2023. Inisiatif ini lahir setelah munculnya laporan yang sangat pedas dari Dewan Peninjau Keselamatan Siber di bawah naungan Departemen Keamanan Dalam Negeri AS. Laporan investigasi tersebut menemukan bahwa budaya keamanan perusahaan Microsoft saat itu dinilai “tidak memadai” dan sangat membutuhkan “perombakan total”.
“Sebagai bagian dari inisiatif SFI kami, kami akan secara transparan membagikan kerentanan kritis melalui program CVE, bahkan jika tidak ada tindakan yang diperlukan dari pelanggan,” kata Gallagher pada bulan Agustus. “Pembelajaran yang didapat dari Zero Day Quest akan dibagikan ke seluruh divisi di Microsoft untuk membantu meningkatkan keamanan Cloud dan AI selaras dengan prinsip inti SFI: mengamankan secara bawaan (by default), berdasarkan desain (by design), dan dalam operasi (in operations).”
Komitmen Pendanaan Bug Bounty
Komitmen Microsoft dalam menghargai peretas etis (ahli keamanan pihak ketiga) belakangan ini memang semakin royal. Awal bulan itu, Microsoft mengumumkan bahwa mereka telah membayarkan rekor USD 17 juta kepada 344 peneliti keamanan siber yang tersebar di 59 negara melalui program bug bounty mereka dalam periode antara Juli 2024 hingga Juni 2025.
Lebih lanjut, pada bulan Desember, raksasa teknologi ini juga mengumumkan pembaruan kebijakan yang menyatakan bahwa peneliti keamanan akan tetap dibayar jika berhasil menemukan kerentanan kritis di salah satu layanan daring Microsoft, bahkan jika kode rentan tersebut ditulis oleh perangkat lunak pihak ketiga.
