Peneliti AI Microsoft Secara Tidak Sengaja Membocorkan Data Sebesar 38tb Secara Online Termasuk Kata Sandi

Daftar Isi
Data termasuk kata sandi untuk layanan Microsoft, dan kunci rahasia serta lebih dari 30.000 pesan MS Teams secara tidak sengaja dibocorkan secara online oleh para peneliti perusahaan.
peneliti-ai-microsoft-secara-tidak-sengaja-membocorkan-data
Hampir 38TB data Microsoft dibagikan melalui URL blob di repositori GitHub. (AP)

Keamanan siber menjadi perhatian besar pada tahun 2023 baik bagi individu maupun perusahaan, dan tampaknya bahkan perusahaan teknologi besar pun tidak aman dari pengintaian para peretas dan penjahat dunia maya. Dalam perkembangan yang mengejutkan, hampir 38TB data bocor secara online, meskipun secara tidak sengaja. Meskipun perusahaan saat ini memiliki beberapa kebijakan perlindungan data dan perlindungan terhadap kebocoran data dari pelaku ancaman eksternal, kebocoran data ini diduga melibatkan karyawan Microsoft. Inilah yang terjadi.

Kebocoran data besar

Dalam sebuah postingan blog, Microsoft mengumumkan bahwa para peneliti di perusahaan keamanan cloud Wiz menemukan bahwa peneliti divisi AI Microsoft secara tidak sengaja membocorkan 38TB data saat berkontribusi pada repositori GitHub yang melibatkan pengembangan model AI sumber terbuka. Microsoft telah menekankan bahwa tidak ada data pelanggan atau layanan internal lainnya yang berisiko, dan tidak diperlukan intervensi pelanggan. Namun, hampir 30.000 pesan internal Microsoft Teams, kunci rahasia, kata sandi untuk layanan Microsoft, dan data lainnya terlibat dalam kebocoran data besar.

Bagaimana kebocoran itu terjadi?

Menurut laporan Pengungkapan Kerentanan Terkoordinasi (CVD) oleh Wiz, kebocoran data tersebut melibatkan seorang karyawan Microsoft yang secara tidak sengaja membagikan URL untuk penyimpanan blob saat berkontribusi pada repositori GitHub publik mengenai pengembangan model AI sumber terbuka. URL ini memiliki fitur Microsoft Azure yang disebut token Shared Access Signature (SAS) untuk akun penyimpanan internal. “Seperti rahasia lainnya, token SAS harus dibuat dan dikelola dengan baik”, kata Microsoft.

Meskipun tautan SAS umumnya hanya menyertakan akses ke sejumlah file tertentu, tautan ini dikonfigurasi sedemikian rupa sehingga memberikan akses ke seluruh akun. Itu juga memberikan izin “kontrol penuh”, memungkinkan pengguna untuk mengedit konten seluruh akun, bukan hanya mengizinkan akses hanya-baca. Akses ke akun penyimpanan internal secara tidak sengaja disertakan dalam URL blob, yang berisi cadangan profil stasiun kerja dua mantan karyawan Microsoft, termasuk kata sandi mereka, serta ribuan pesan Teams dengan rekan mereka.

Tim peneliti dapat mengakses akun ini dengan token SAS, dan masalah keamanan besar ini kemudian dilaporkan ke Microsoft Security Response Center (MSRC). Setelah ini, semua akses eksternal ke akun penyimpanan dicabut.

Microsoft berkata, “Investigasi tambahan kemudian dilakukan untuk memahami potensi dampak terhadap pelanggan dan/atau kelangsungan bisnis kami. Investigasi kami menyimpulkan bahwa tidak ada risiko bagi pelanggan akibat paparan ini.”
Mas Tosu
Mas Tosu "Productivity addict. Geek by nature". Editor in Chief di TOSUTEKNO dan TOSUPEDIA. Pengguna Android dan iOS. Ikuti saya di Instagram: mastosu

Posting Komentar