Network
Baca Juga: Bocoran Terbaru Samsung Ungkap Pembaruan Galaxy S24 Ultra
Masalahnya bisa menjadi lebih buruk. Token akses yang mengizinkan semua ini salah dikonfigurasi untuk memberikan izin kontrol penuh, Wiz melaporkan, bukan izin baca-saja yang lebih ketat. Dalam praktiknya, hal ini berarti siapa pun yang mengunjungi URL tersebut dapat menghapus dan menambah file yang mereka temukan, bukan hanya melihatnya.
Wiz menjelaskan bahwa hal ini bisa menimbulkan konsekuensi yang mengerikan. Karena repositori penuh dengan data pelatihan AI, pengguna bermaksud mengunduhnya dan memasukkannya ke dalam skrip, sehingga meningkatkan model AI mereka sendiri.
Data tersebut rentan disalahgunakan, di mana bisa saja seseorang menyuntikkan kode berbahaya ke semua model AI di akun penyimpanan ini, dan setiap pengguna yang mempercayai repositori GitHub Microsoft akan terinfeksi olehnya.
Baca Juga: Bocoran Rumor Samsung Galaxy S23 FE: Detail Spesifikasi, Fitur, Harga dan Waktu Rilis
Laporan tersebut juga mencatat bahwa pembuatan token SAS yang memberikan akses ke folder Azure Storage seperti ini tidak membuat jejak kertas apa pun, yang berarti “tidak ada cara bagi administrator untuk mengetahui keberadaan token ini dan di mana ia beredar. Jika token memiliki izin akses penuh seperti ini, akibatnya bisa berpotensi menjadi bencana.
Untungnya, Wiz menjelaskan bahwa mereka melaporkan masalah tersebut ke Microsoft pada Juni 2023. Token SAS yang bocor diganti pada bulan Juli, dan Microsoft menyelesaikan penyelidikan internalnya pada bulan Agustus dan berupaya memperbaiki sepenuhnya.
Hal ini mengingatkan bahwa tindakan yang tampaknya tidak bersalah pun berpotensi menyebabkan pelanggaran data. Untungnya masalah ini telah diperbaiki. Meski demikian tidak diketahui apakah peretas memperoleh akses ke data sensitif pengguna sebelum data tersebut dihapus.
