Divisi penelitian AI Microsoft secara tidak sengaja membocorkan puluhan terabyte data sensitif mulai Juli 2020 saat berkontribusi pada model pembelajaran AI open-source di repositori GitHub publik.
.
Menurut perusahaan keamanan cloud Wiz, yang menemukan kebocoran tersebut, data yang bocor mencakup kata sandi untuk layanan Microsoft, kunci rahasia, dan lebih dari 30.000 pesan internal Microsoft Teams dari 359 karyawan Microsoft.
Menurut perusahaan keamanan cloud Wiz, yang menemukan kebocoran tersebut, data yang bocor mencakup kata sandi untuk layanan Microsoft, kunci rahasia, dan lebih dari 30.000 pesan internal Microsoft Teams dari 359 karyawan Microsoft.
.
Penyebab kebocoran tersebut adalah URL yang salah konfigurasi, yang memungkinkan pengunjung repositori GitHub untuk mengunduh model AI dari kontainer penyimpanan Azure3. Namun, URL tersebut memberikan akses ke seluruh akun penyimpanan, bukan hanya model open-source.
Penyebab kebocoran tersebut adalah URL yang salah konfigurasi, yang memungkinkan pengunjung repositori GitHub untuk mengunduh model AI dari kontainer penyimpanan Azure3. Namun, URL tersebut memberikan akses ke seluruh akun penyimpanan, bukan hanya model open-source.
.
Selain itu, URL tersebut dibuat dengan menggunakan token “Shared Access Signature” (SAS) yang kuat, yang memberikan siapa pun yang mengunjungi tautan tersebut - termasuk penyerang potensial - kemampuan untuk melihat, menghapus, atau menimpa file-file tersebut.
Selain itu, URL tersebut dibuat dengan menggunakan token “Shared Access Signature” (SAS) yang kuat, yang memberikan siapa pun yang mengunjungi tautan tersebut - termasuk penyerang potensial - kemampuan untuk melihat, menghapus, atau menimpa file-file tersebut.
.
Hal ini sangat berbahaya mengingat tujuan awal repositori tersebut: menyediakan model AI untuk digunakan dalam kode pelatihan. Artinya, penyerang bisa menyuntikkan kode jahat ke semua model AI di akun penyimpanan ini, dan setiap pengguna yang mempercayai repositori GitHub Microsoft akan terinfeksi olehnya.
Hal ini sangat berbahaya mengingat tujuan awal repositori tersebut: menyediakan model AI untuk digunakan dalam kode pelatihan. Artinya, penyerang bisa menyuntikkan kode jahat ke semua model AI di akun penyimpanan ini, dan setiap pengguna yang mempercayai repositori GitHub Microsoft akan terinfeksi olehnya.
.
Wiz melaporkan hal ini kepada Microsoft pada Juni, dan perusahaan segera menutup kebocoran tersebut. “Tidak ada data pelanggan yang terpapar, dan tidak ada layanan internal lain yang terancam karena masalah ini,” kata Microsoft dalam laporannya.
Wiz melaporkan hal ini kepada Microsoft pada Juni, dan perusahaan segera menutup kebocoran tersebut. “Tidak ada data pelanggan yang terpapar, dan tidak ada layanan internal lain yang terancam karena masalah ini,” kata Microsoft dalam laporannya.
.
Perusahaan juga mengatakan bahwa kontainer penyimpanan yang terpapar berisi cadangan dan pesan internal Microsoft Teams milik dua mantan karyawan Microsoft.
Perusahaan juga mengatakan bahwa kontainer penyimpanan yang terpapar berisi cadangan dan pesan internal Microsoft Teams milik dua mantan karyawan Microsoft.
.
Untuk mencegah kebocoran lebih lanjut, Microsoft telah memindai token SAS “yang mungkin memiliki masa berlaku atau hak istimewa yang terlalu besar” di GitHub. “Sistem ini mendeteksi URL SAS spesifik yang diidentifikasi oleh Wiz di repo ‘robust-models-transfer’, tetapi temuan tersebut salah ditandai sebagai positif palsu,” kata Microsoft. “Masalah penyebab utama untuk ini telah diperbaiki dan sistem sekarang dikonfirmasi dapat mendeteksi dan melaporkan dengan benar semua token SAS yang berlebihan.”
Untuk mencegah kebocoran lebih lanjut, Microsoft telah memindai token SAS “yang mungkin memiliki masa berlaku atau hak istimewa yang terlalu besar” di GitHub. “Sistem ini mendeteksi URL SAS spesifik yang diidentifikasi oleh Wiz di repo ‘robust-models-transfer’, tetapi temuan tersebut salah ditandai sebagai positif palsu,” kata Microsoft. “Masalah penyebab utama untuk ini telah diperbaiki dan sistem sekarang dikonfirmasi dapat mendeteksi dan melaporkan dengan benar semua token SAS yang berlebihan.”
