Seorang pegawai Microsoft secara tidak sengaja membocorkan 38 terabyte data pribadi saat mempublikasikan sejumlah data pelatihan AI sumber terbuka di GitHub. Temuan ini dilaporkan oleh peneliti keamanan dari Wiz yang menemukan akun yang bocor dan melaporkannya kepada Microsoft.
Dalam laporan yang diterbitkan pada hari Senin, peneliti Wiz, Hillai Ben-Sasson dan Ronny Greenberg, merinci peristiwa ini. Ketika mereka mencari kontainer penyimpanan yang salah konfigurasi, mereka menemukan sebuah repositori GitHub milik tim riset AI Microsoft yang menyediakan kode sumber terbuka dan model pembelajaran mesin untuk pengenalan gambar.
Repositori ini berisi URL dengan token Shared Access Signature (SAS) yang terlalu memperbolehkan untuk akun penyimpanan Azure internal milik Microsoft yang berisi data pribadi.
SAS token adalah URL yang ditandatangani yang memberikan tingkat akses tertentu ke sumber daya Penyimpanan Azure. Pengguna dapat menyesuaikan tingkat akses, mulai dari hanya membaca hingga kontrol penuh. Namun dalam kasus ini, token SAS salah konfigurasi dengan izin kontrol penuh.
Ini tidak hanya memberikan tim Wiz – dan mungkin juga mata-mata yang lebih jahat – kemampuan untuk melihat semua yang ada di akun penyimpanan, tetapi mereka juga dapat menghapus atau mengubah file yang ada.
“Pemindaian kami menunjukkan bahwa akun ini berisi 38TB data tambahan – termasuk cadangan komputer pribadi pegawai Microsoft,” kata Ben-Sasson dan Greenberg. “Cadangan tersebut mengandung data pribadi yang sensitif, termasuk kata sandi untuk layanan Microsoft, kunci rahasia, dan lebih dari 30.000 pesan internal Microsoft Teams dari 359 pegawai Microsoft.”
Microsoft, pada bagian lainnya, mengatakan bahwa cadangan komputer pribadi tersebut milik dua pegawai yang sudah tidak bekerja lagi. Setelah diberitahu tentang kebocoran pada 22 Juni, Microsoft mencabut token SAS untuk mencegah akses eksternal ke akun penyimpanan dan menutup kebocoran pada 24 Juni.
Selain itu, Microsoft merekomendasikan serangkaian praktik terbaik untuk token SAS guna meminimalkan risiko token yang terlalu memperbolehkan. Ini termasuk membatasi cakupan URL hanya pada set sumber daya yang paling kecil yang dibutuhkan, dan juga membatasi izin hanya pada yang diperlukan oleh aplikasi.
Ada juga fitur yang memungkinkan pengguna menetapkan waktu kedaluwarsa, dan Microsoft merekomendasikan satu jam atau kurang untuk URL SAS. Semua ini adalah saran yang baik, sayangnya Microsoft tidak mengikuti saran ini dalam kasus ini.
Terakhir, Microsoft berjanji akan melakukan perbaikan di sisi mereka: “Microsoft juga terus melakukan perbaikan pada alat deteksi dan pemindaian kami untuk secara proaktif mengidentifikasi kasus-kasus URL SAS yang terlalu memperbolehkan dan memperkuat posisi keamanan kami.”
Ini tentu bukan satu-satunya masalah Microsoft terkait otentikasi berbasis kunci dalam beberapa bulan terakhir.
Pada bulan Juli, mata-mata China mencuri kunci rahasia Microsoft yang digunakan untuk masuk ke akun email pemerintah AS. Peneliti Wiz juga memberikan komentar tentang kegagalan keamanan tersebut.(hh)