Menurut laporan perusahaan keamanan cloud Wiz, data yang terekspos termasuk data backup dari komputer milik dua karyawan Microsoft. Backup ini juga berisi data sensitif seperti password untuk layanan Microsoft, kunci rahasia, dan lebih dari 30.000 pesan internal di Microsoft Teams dari ratusan karyawan Microsoft.
Insiden ini bermula dari tim AI Microsoft yang mengunggah data untuk melatih AI berisi kode open-source dan model AI untuk pengenal wajah di platform repository GitHub. Pengguna bisa mengunduh data ini menggunakan link dari Azure, layanan cloud milik Microsoft.
Baca juga: Veteran Microsoft Resign, Pindah ke Amazon |
Masalahnya, link yang disediakan oleh tim AI Microsoft terlalu permisif dan memberikan akses penuh untuk akun Azure tersebut. Pengguna GitHub tidak hanya bisa melihat semua data di akun, mereka juga bisa mengunggah, mengganti, atau bahkan menghapus file.
Wiz mengatakan kebocoran ini terjadi karena fitur Azure bernama token Shared Access Signature (SAS). Fitur ini memungkinkan pengguna membuat link yang dapat dibagikan sehingga orang lain bisa mengakses data di akun Azure Storage.
Pemilik data bisa mengatur token SAS untuk membatasi data apa saja yang bisa diakses oleh orang lain. Namun dalam kasus tim AI Microsoft, mereka membagikan link yang memberikan akses penuh ke akun Azure Storage.
Menurut laporan Wiz, data internal Microsoft ini sudah terekspos sejak tahun 2020. Wiz sudah melaporkan temuannya ke Microsoft pada 22 Juni, dan sehari setelahnya Microsoft mencabut token SAS tersebut, seperti dikutip dari Mashable, Rabu (20/9/2023).
Microsoft mengaku telah menjalankan dan menyelesaikan investigasi terkait potensi dampak kebocoran ini pada bulan Agustus. Mereka juga telah memperbaiki masalah tersebut agar sistemnya bisa mendeteksi token SAS yang terlalu permisif.
Kepada TechCrunch, Microsoft mengatakan tidak ada data konsumen yang terekspos dalam insiden ini, dan tidak ada layanan internal lainnya yang terancam karena masalah ini.
Simak Video "Video Microsoft PHK Besar-besaran di Saat Perusahaan Genjot Investasi AI"
(vmp/fay)