Media Kampung – Sebuah kesalahan yang tak disengaja oleh tim peneliti kecerdasan buatan (AI) Microsoft telah mengakibatkan kebocoran sekitar 38TB data internal perusahaan, menciptakan situasi yang memprihatinkan. Laporan dari perusahaan keamanan cloud, Wiz, mengungkapkan bahwa data yang terbocor mencakup salinan cadangan dari komputer milik dua karyawan Microsoft, dan di dalamnya terdapat data sensitif seperti kata sandi untuk layanan Microsoft, kunci rahasia, dan lebih dari 30.000 pesan internal di Microsoft Teams dari ratusan karyawan Microsoft.
Insiden ini berawal ketika tim AI Microsoft mengunggah data ke platform repository GitHub untuk melatih kecerdasan buatan mereka. Data ini berisi kode open-source dan model AI untuk pengenalan wajah. Pengguna GitHub dapat mengunduh data ini melalui tautan yang berasal dari layanan cloud Azure yang dimiliki oleh Microsoft.
Namun, kendala muncul ketika tautan yang disediakan oleh tim AI Microsoft terlalu permisif, memberikan akses penuh ke akun Azure tersebut. Hal ini memungkinkan pengguna GitHub untuk tidak hanya melihat data di akun tersebut, tetapi juga mengunggah, mengubah, atau bahkan menghapus file-file di dalamnya.
Menurut Wiz, kebocoran ini terjadi akibat penggunaan fitur Azure yang disebut token Shared Access Signature (SAS). Fitur ini memungkinkan pembuatan tautan yang dapat dibagikan sehingga orang lain dapat mengakses data di akun Azure Storage. Namun, dalam kasus tim AI Microsoft, mereka tidak membatasi akses, sehingga tautan tersebut memberikan akses penuh ke akun Azure Storage.
Laporan dari Wiz mengungkap bahwa data internal Microsoft ini telah terbocor sejak tahun 2020, tetapi temuan ini baru dilaporkan kepada Microsoft pada 22 Juni. Satu hari setelah laporan tersebut, Microsoft segera mencabut token SAS yang bocor.
Microsoft menyatakan telah melakukan investigasi terkait potensi dampak dari kebocoran ini pada bulan Agustus dan telah memperbaiki masalahnya agar sistem mereka dapat mendeteksi token SAS yang terlalu permisif. Mereka juga menegaskan bahwa tidak ada data konsumen yang terekspos dalam insiden ini dan tidak ada layanan internal lainnya yang terancam akibat masalah ini.
