Microsoft dilaporkan boleh memberikan Data Terenkripsi PC Windows Pengguna apabila diminta FBI

Microsoft dilaporkan akan mematuhi undang-undang untuk menyerahkan kunci penyulitan (encryption keys) BitLocker pengguna kepada Biro Penyiasatan Persekutuan (FBI) jika diarahkan.

Pendedahan ini menimbulkan kebimbangan mengenai privasi data pengguna Windows. Paling terkesan pengguna yang menggunakan akaun Microsoft yang menyalin kunci keselamatan tersebut ke storan awan secara automatik.

Laporan baharu menyebut Microsoft telah menyerahkan kunci penyulitan BitLocker kepada pihak berkuasa dalam satu kes jenayah di Guam yang melibatkan penipuan dana bantuan COVID-19.

Situasi ini berlaku kerana sistem operasi Windows moden, terutamanya Windows 11, menetapkan penggunaan Akaun Microsoft secara lalai (default). Tetapan ini secara automatik menyandarkan (backup) kunci pemulihan BitLocker ke pelayan awan Microsoft bagi memudahkan pemulihan data jika pengguna terkunci daripada peranti mereka.

Kunci penyulitan ini kritikal kerana ia membolehkan pihak berkuasa atau sesiapa sahaja yang memilikinya untuk menyahkunci pemacu cakera keras.

Seterusnya boleh mengakses segala maklumat yang tersimpan di dalam komputer. Ia sekaligus memintas perlindungan yang sepatutnya disediakan oleh penyulitan peranti.

Pendekatan ini berbeza syarikat teknologi lain seperti Apple yang terkenal menolak permintaan pintu belakang (backdoor). Malah Meta juga menggunakan seni bina “zero-knowledge” sebagai perlindungan privasi.

Cara Microsoft menguruskan Privasi Pengguna

Untuk isu Microsoft ini, kunci yang disimpan di pelayan Microsoft nampaknya boleh diakses oleh kakitangan syarikat tersebut apabila diperlukan oleh perintah mahkamah.

Pendedahan ini memberi isyarat penting kepada pengguna yang mementingkan privasi mutlak untuk menyemak semula tetapan keselamatan mereka.

Pengguna Windows dinasihatkan untuk log masuk ke laman web Akaun Microsoft mereka bagi memeriksa sama ada kunci BitLocker mereka disimpan di sana. Jika perlu, boleh memadamkannya dan beralih kepada akaun tempatan (local account). Atau boleh juga menggunakan kaedah penyimpanan kunci secara fizikal bagi mengelakkan akses pihak ketiga.