Ajang Pwn2Own Ireland 2025 kembali menarik perhatian dunia keamanan siber. Di kompetisi bergengsi ini, tim peretas profesional Team Z3 sempat berencana memamerkan eksploitasi celah berisiko tinggi di aplikasi WhatsApp. Namun, secara mengejutkan, mereka memutuskan menarik diri dan memilih untuk melaporkan temuannya secara pribadi langsung kepada Meta, perusahaan induk WhatsApp.
Baca Juga : Update WhatsApp! Perbaikan Bug Zero-Click yang Bisa Retas iPhone
Event yang digelar di Cork, Irlandia, pada 21–23 Oktober ini sebenarnya menjadi sorotan karena menghadirkan hadiah fantastis senilai 1 juta dolar AS bagi siapa pun yang bisa mendemonstrasikan eksploitasi zero-click remote code execution (RCE) di WhatsApp. Wajar saja, karena celah seperti ini bisa menjadi mimpi buruk bagi keamanan tiga miliar pengguna aktif aplikasi tersebut.
Eksploitasi yang Tak Jadi Ditampilkan
Keputusan Team Z3 untuk mundur tentu mengecewakan banyak pihak, terutama para penonton dan peserta lain yang sudah menantikan aksi mereka. Eksploit ini digadang-gadang bakal menjadi “bintang utama” kompetisi, sekaligus mencetak rekor pembayaran hadiah tunggal terbesar dalam sejarah Pwn2Own.
Namun, menurut penyelenggara dari Zero Day Initiative (ZDI), tim tersebut merasa hasil riset mereka belum siap untuk dipertunjukkan secara publik. Meski begitu, langkah ini tetap mendapat apresiasi karena mereka memilih jalur tanggung jawab etis: melaporkan langsung kepada pihak Meta agar bisa segera ditangani.
Meta Siap Tindak Lanjut Temuan
ZDI menjelaskan bahwa sebelum hasil riset diserahkan ke Meta, analisis awal akan dilakukan oleh tim internal mereka untuk memastikan keabsahan dan dampak dari potensi celah keamanan itu. Langkah ini menjadi bagian penting dalam proses koordinasi pengungkapan bug (coordinated disclosure) agar semua pihak bisa bertindak tepat dan terukur.
Meta, selaku sponsor acara bersama Synology dan QNAP, menyatakan tetap tertarik pada hasil temuan tersebut. Mereka juga menegaskan komitmennya untuk terus memperkuat keamanan WhatsApp dari serangan canggih seperti zero-click attack, jenis serangan berbahaya yang bahkan tidak membutuhkan interaksi apa pun dari pengguna.
Dalam beberapa kasus sebelumnya, celah semacam ini pernah dimanfaatkan dalam kampanye spyware yang menargetkan tokoh-tokoh penting di dunia. Karena itu, Meta akan diberi waktu hingga 90 hari setelah acara untuk menambal kerentanan tersebut sebelum informasi lengkapnya diumumkan ke publik.
Bug Bounty Semakin Serius
Meski demo WhatsApp batal, Pwn2Own Ireland 2025 tetap mencetak rekor baru. Total hadiah sebesar 1.024.750 dolar AS berhasil dibagikan kepada para peserta yang menemukan 73 celah keamanan unik di berbagai perangkat, termasuk Samsung Galaxy S25 dan beberapa jenis printer populer.
Namun, insiden WhatsApp ini jadi pengingat penting bagi semua pengembang aplikasi: semakin luas penggunaannya, semakin tinggi pula risikonya. Hingga kini, belum ada detail teknis yang dibagikan mengenai versi WhatsApp yang terdampak atau apakah sudah diberikan nomor CVE (Common Vulnerabilities and Exposures).
Para ahli memperkirakan Meta akan segera merilis pembaruan keamanan (patch) dalam waktu dekat untuk menutup kemungkinan eksploitasi di dunia nyata.
Baca Juga : Cara Profesional Decode Audit Log Microsoft 365 untuk Keamanan Data Perusahaan
Transparansi Lebih Penting dari Sensasi
Keputusan Team Z3 untuk tidak mempertontonkan eksploitasinya di depan umum memang terasa antiklimaks, tapi justru menunjukkan profesionalisme dan tanggung jawab etis di dunia keamanan siber. Alih-alih mencari sensasi, mereka memilih langkah yang lebih aman untuk melindungi jutaan pengguna.
Kini, komunitas keamanan siber global tengah menunggu langkah lanjutan dari Meta dan hasil investigasi resmi yang akan diumumkan lewat pembaruan keamanan berikutnya.
Satu hal yang pasti, insiden ini kembali mengingatkan kita bahwa di balik kenyamanan aplikasi populer seperti WhatsApp, ancaman siber selalu mengintai — dan kerja sama antara peneliti, penyedia layanan, serta pengguna adalah kunci utama menjaga keamanan di dunia digital.
