Tahun lalu, Microsoft menyerahkan kunci enkripsi untuk perangkat lunak enkripsi hard drive mereka, BitLocker, kepada FBI. Tindakan ini dilakukan untuk memenuhi perintah penggeledahan yang terkait dengan penyelidikan penipuan di Guam. Ini merupakan kasus pertama yang diketahui di mana raksasa teknologi tersebut memberikan kunci pemulihan BitLocker kepada penegak hukum.
Forbes melaporkan pada Jumat bahwa Microsoft menyerahkan kunci pemulihan untuk BitLocker, yang memungkinkan FBI mengakses data pada tiga laptop yang disita. BitLocker aktif secara bawaan di banyak PC Windows dan dirancang untuk mengenkripsi data komputer jika hilang atau dicuri.
Enkripsi BitLocker dapat dibuka menggunakan kunci pemulihan yang disimpan secara lokal di perangkat pengguna, tetapi Microsoft juga menganjurkan pengguna untuk mencadangkan kunci pemulihan mereka ke cloud. Cadangan itu dapat mempermudah pemulihan data jika pengguna lupa kata sandi, namun juga membuka jalur bagi penegak hukum—dan berpotensi peretas—untuk mengakses data pengguna.
Microsoft tidak segera menanggapi permintaan komentar dari Gizmodo. Namun, seorang juru bicara mengatakan kepada Forbes bahwa “Meskipun pemulihan kunci menawarkan kenyamanan, hal itu juga membawa risiko akses yang tidak diinginkan, sehingga Microsoft percaya pelanggan berada di posisi terbaik untuk memutuskan… cara mengelola kunci mereka.”
Dia menambahkan bahwa Microsoft menerima sekitar 20 permintaan untuk kunci pemulihan BitLocker setiap tahun, tetapi tidak dapat memenuhinya dalam kasus di mana kunci tidak dicadangkan di cloud.
Permintaan spesifik yang disebutkan dalam laporan berasal dari penyelidikan federal terhadap jaringan penipuan yang terkait dengan program Bantuan Pengangguran Pandemi di Guam. Beberapa orang didakwa dalam kasus ini, termasuk anggota keluarga Wakil Gubernur pulau itu, Josh Tenorio.
Media berita lokal melaporkan musim panas lalu bahwa surat perintah penggeledahan yang dibuka mengungkapkan bahwa penyelidik mencari kunci pemulihan BitLocker untuk tiga komputer yang disita selama penggerebekan FBI terhadap bisnis milik saudara perempuan wakil gubernur, Charissa Tenorio. Catatan menunjukkan bahwa Microsoft memenuhi permintaan tersebut pada 10 Februari 2025.
Di luar kasus spesifik ini, berita ini telah menimbulkan kekhawatiran di komunitas keamanan siber. Matthew Green, pakar kriptografi dari Johns Hopkins, menyuarakan keprihatinannya di Bluesky mengenai betapa mudahnya pihak berwenang mendapatkan kunci tersebut.
“Dulu kita bisa berasumsi (sebagian besar) bahwa lembaga penegak hukum federal yang melakukan ini akan beroperasi dalam batas-batas hukum. Sekarang, siapa yang tahu. Saya pasti tidak ingin menjadi jurnalis yang mengandalkan BitLocker,” tulis Green dalam postingannya, dengan menautkan artikel berita tentang penggerebekan FBI di rumah reporter Washington Post, Hannah Natanson.
Dia juga memperingatkan bahwa kemudahan Microsoft dalam menyerahkan kunci berarti “siapa pun yang membahayakan infrastruktur cloud mereka (dan infrastruktur layanan pelanggan, atau dapat memalsukan permintaan penegak hukum yang meyakinkan) berpotensi mengakses data tersebut.”