Network
Kilas Klaten – Para peneliti AI Microsoft secara tidak sengaja mengekspos puluhan terabyte data sensitif, termasuk kunci pribadi dan kata sandi, ketika mempublikasikan ember penyimpanan data pelatihan sumber terbuka di GitHub.
Dalam penelitian yang dibagikan kepada TechCrunch, startup keamanan cloud Wiz mengatakan bahwa mereka menemukan repositori GitHub milik divisi penelitian AI Microsoft sebagai bagian dari penelitian yang sedang berlangsung terhadap pemaparan data yang di-host di cloud secara tidak sengaja.
Pembaca repositori GitHub, yang menyediakan kode sumber terbuka dan model AI untuk pengenalan gambar, diinstruksikan untuk mengunduh model tersebut dari URL Azure Storage. Namun, Wiz menemukan bahwa URL ini dikonfigurasikan untuk memberikan izin pada seluruh akun penyimpanan, mengekspos data pribadi tambahan secara tidak sengaja.
Baca Juga: Kabar Baru Nih! Microsoft Excel Kini Hadirkan Kode Python
Data ini termasuk 38 terabyte informasi sensitif, termasuk cadangan pribadi dari dua komputer pribadi karyawan Microsoft. Data tersebut juga berisi data pribadi sensitif lainnya, termasuk kata sandi untuk layanan Microsoft, kunci rahasia, dan lebih dari 30.000 pesan internal Tim Microsoft dari ratusan karyawan Microsoft.
URL, yang telah mengekspos data ini sejak tahun 2020, juga disalahkonfigurasi untuk memungkinkan izin "kontrol penuh" dan bukan "hanya-baca", menurut Wiz, yang berarti siapa pun yang tahu di mana mencarinya berpotensi menghapus, mengganti, dan menyuntikkan konten berbahaya ke dalamnya.
Wiz mencatat bahwa akun penyimpanan tidak terekspos secara langsung. Sebaliknya, para pengembang AI Microsoft menyertakan token tanda tangan akses bersama (SAS) yang terlalu permisif dalam URL. Token SAS adalah mekanisme yang digunakan oleh Azure yang memungkinkan pengguna untuk membuat tautan yang dapat dibagikan yang memberikan akses ke data akun Azure Storage.
