Divisi penelitian AI Microsoft sedang dalam pengawasan ketat setelah secara tidak sengaja mengekspos data pelatihan AI sensitif sebesar 38 terabyte. Techcrunch melaporkan bahwa data tersebut, yang dimaksudkan untuk menjadi bagian dari data pelatihan sumber terbuka di GitHub, termasuk model AI yang dimaksudkan dan cadangan komputer pribadi karyawan Microsoft, kata sandi untuk berbagai layanan Microsoft, kunci rahasia, dan arsip internal yang sangat besar. Pesan Microsoft Teams.
Akar penyebab paparan besar-besaran ini ditelusuri kembali ke penggunaan”token SAS”Azure, yang dikonfigurasi untuk memberikan”kontrol penuh”atas seluruh akun penyimpanan, bukan yang dimaksudkan akses “hanya-baca”.
Token SAS yang Salah Konfigurasi
Token Tanda Tangan Akses Bersama (SAS) adalah fitur Azure Cloud Microsoft yang memungkinkan pengguna membuat tautan yang memberikan akses ke data akun Azure Storage. Namun, ketika salah dikonfigurasi, token ini dapat menimbulkan risiko keamanan yang signifikan. Pengembang Microsoft AI, dalam hal ini, menyertakan token SAS yang terlalu permisif di URL, yang menyebabkan paparan yang tidak diinginkan. Perusahaan keamanan cloud Wiz, yang menemukan kesalahan konfigurasi tersebut, menekankan tantangan dalam memantau dan mencabut token tersebut. Mereka menyoroti bahwa karena kurangnya manajemen terpusat dalam portal Microsoft Azure, token ini sulit dilacak. Selain itu, mereka dapat diatur untuk bertahan tanpa batas waktu, sehingga penggunaannya untuk berbagi eksternal berpotensi menimbulkan bahaya keamanan.
Akibat dan Tanggapan Microsoft
Setelah menemukan kesalahan tersebut, Wiz segera melaporkan masalah tersebut ke Microsoft pada bulan Juni 2023. Microsoft bertindak cepat, mencabut token SAS dalam waktu dua hari, sehingga memblokir akses eksternal ke akun penyimpanan Azure. Setelah penyelidikan internal, Microsoft mengonfirmasi bahwa tidak ada data pelanggan yang disusupi, dan tidak ada layanan internal lainnya yang terancam akibat insiden tersebut. Sebagai tindakan pencegahan, Microsoft memperluas layanan pemindaian rahasia GitHub untuk memantau perubahan kode sumber terbuka publik terhadap potensi paparan kredensial dan rahasia lainnya, terutama yang terkait dengan token SAS.
