Network
KABAR WONOSOBO - Peneliti Microsoft secara tidak sengaja membocorkan 38TB informasi rahasia ke halaman GitHub perusahaan yang siapa pun dapat mengaksesnya. Di antara kumpulan data tersebut terdapat cadangan dua stasiun kerja mantan karyawan, yang berisi kunci, kata sandi, rahasia, dan lebih dari 30.000 pesan pribadi Teams.
Menurut perusahaan keamanan cloud Wiz, kebocoran tersebut dipublikasikan di repositori GitHub kecerdasan buatan (AI) Microsoft dan secara tidak sengaja disertakan dalam kumpulan data pelatihan sumber terbuka.
Karena hal ini, pengunjung didorong untuk mengunduhnya, yang berarti bisa saja jatuh ke tangan yang salah lagi dan lagi.
Baca Juga: Aplikasi Menarik iOS 17 dan watchOS 10 yang Diluncurkan Apple
Pelanggaran data bisa datang dari berbagai sumber, namun akan sangat memalukan bagi Microsoft karena pelanggaran ini berasal dari peneliti AI mereka sendiri.
Dilansir dari Digital Trends, laporan Wiz menyatakan bahwa Microsoft mengunggah data menggunakan token Shared Access Signature (SAS), sebuah fitur Azure, yang memungkinkan pengguna berbagi data melalui akun Azure Storage.
Pengunjung repositori diminta untuk mengunduh data pelatihan dari URL yang disediakan. Namun, alamat web tersebut memberikan akses ke lebih dari sekedar data pelatihan yang direncanakan, dan memungkinkan pengguna untuk menelusuri file dan folder yang tidak dimaksudkan untuk dapat diakses publik.
Baca Juga: Bocoran Terbaru Samsung Ungkap Pembaruan Galaxy S24 Ultra
Masalahnya bisa menjadi lebih buruk. Token akses yang mengizinkan semua ini salah dikonfigurasi untuk memberikan izin kontrol penuh, Wiz melaporkan, bukan izin baca-saja yang lebih ketat. Dalam praktiknya, hal ini berarti siapa pun yang mengunjungi URL tersebut dapat menghapus dan menambah file yang mereka temukan, bukan hanya melihatnya.
Wiz menjelaskan bahwa hal ini bisa menimbulkan konsekuensi yang mengerikan. Karena repositori penuh dengan data pelatihan AI, pengguna bermaksud mengunduhnya dan memasukkannya ke dalam skrip, sehingga meningkatkan model AI mereka sendiri.
Data tersebut rentan disalahgunakan, di mana bisa saja seseorang menyuntikkan kode berbahaya ke semua model AI di akun penyimpanan ini, dan setiap pengguna yang mempercayai repositori GitHub Microsoft akan terinfeksi olehnya.
Baca Juga: Bocoran Rumor Samsung Galaxy S23 FE: Detail Spesifikasi, Fitur, Harga dan Waktu Rilis
Laporan tersebut juga mencatat bahwa pembuatan token SAS yang memberikan akses ke folder Azure Storage seperti ini tidak membuat jejak kertas apa pun, yang berarti “tidak ada cara bagi administrator untuk mengetahui keberadaan token ini dan di mana ia beredar. Jika token memiliki izin akses penuh seperti ini, akibatnya bisa berpotensi menjadi bencana.
Untungnya, Wiz menjelaskan bahwa mereka melaporkan masalah tersebut ke Microsoft pada Juni 2023. Token SAS yang bocor diganti pada bulan Juli, dan Microsoft menyelesaikan penyelidikan internalnya pada bulan Agustus dan berupaya memperbaiki sepenuhnya.
Hal ini mengingatkan bahwa tindakan yang tampaknya tidak bersalah pun berpotensi menyebabkan pelanggaran data. Untungnya masalah ini telah diperbaiki. Meski demikian tidak diketahui apakah peretas memperoleh akses ke data sensitif pengguna sebelum data tersebut dihapus.
Ikuti Artikel Kami Selengkapnya di Google News.***
