Baru-baru ini terjadi sebuah kebocoran keamanan data Microsoft yang cukup menghebohkan. Dalam sebuah insiden yang menggemparkan dunia, divisi penelitian AI Microsoft secara tidak sengaja mengungkapkan data sensitif mulai bulan Juli 2020. Penemuan ini baru-baru ini diungkap oleh perusahaan keamanan cloud, Wiz, yang berhasil menemukan bahwa salah seorang karyawan Microsoft secara tidak sengaja membagikan URL untuk sebuah penyimpanan Azure Blob yang salah konfigurasi, dan data-data rahasia ini akhirnya bocor ke publik.
Penyebab bocornya data ini adalah penggunaan token Shared Access Signature (SAS) yang terlalu memberikan akses penuh atas file-file yang dibagikan. SAS adalah fitur Azure yang memungkinkan berbagi data, tetapi dalam hal ini, izin yang terlalu besar memungkinkan akses yang tidak sah. Menurut penelitian Wiz, penggunaan SAS yang tidak terkendali seperti ini sangat sulit untuk dipantau dan dicabut.
Penting untuk dicatat bahwa ketika digunakan dengan benar, token SAS menawarkan cara yang aman untuk memberikan akses ke sumber daya dalam akun penyimpanan Azure. Token ini memungkinkan pengguna untuk mengendalikan akses data, menentukan sumber daya yang dapat diakses, mendefinisikan izin, dan menentukan durasi keberlakuan token.
Namun, karena kurangnya pemantauan dan tata kelola, token SAS ternyata memiliki risiko keamanan yang serius, terutama karena Microsoft tidak menyediakan cara terpusat untuk mengelolanya dalam portal Azure. Bahkan, token ini dapat dikonfigurasi untuk berlaku selamanya tanpa batas waktu kedaluwarsa yang ditetapkan.
Keamanan Data Microsoft Bocor Lebih dari 38TB
Selain data yang bocor dari model-model pembelajaran AI sumber terbuka, tim peneliti Wiz juga menemukan bahwa akun penyimpanan internal Microsoft secara tidak sengaja memberikan akses ke 38TB data pribadi tambahan. Data ini termasuk cadangan informasi pribadi milik karyawan Microsoft, seperti kata sandi untuk layanan Microsoft, kunci rahasia, dan arsip lebih dari 30.000 pesan internal Microsoft Teams yang berasal dari 359 karyawan Microsoft.
Meskipun insiden ini menciptakan kekhawatiran akan keamanan data, Microsoft mengklaim bahwa tidak ada data pelanggan yang terungkap. Selain itu, tidak ada layanan internal lain yang terpengaruh oleh insiden ini. Wiz melaporkan insiden ini kepada tim Microsoft Security Response Center pada 22 Juni 2023, dan tindakan cepat diambil dengan mencabut token SAS. Pencabutan token SAS ini untuk memblokir akses eksternal ke akun penyimpanan Azure pada 24 Juni 2023.
Dalam komentarnya, CTO & Cofounder Wiz, Ami Luttwak, menggarisbawahi pentingnya mengamankan data dalam era AI yang sedang berkembang pesat. Pengelolaan data yang baik menjadi kunci mengingat volume data yang besar yang diperlukan oleh tim pengembangan AI untuk melatih model mereka.
Sementara Microsoft telah mengatasi insiden ini dengan cepat, ini menjadi pengingat bagi perusahaan teknologi lainnya untuk meningkatkan pemantauan dan keamanan data mereka. Keberhasilan AI memang menawarkan potensi besar, tetapi juga membawa tanggung jawab besar dalam melindungi data sensitif.
Kejadian ini juga mengingatkan kita bahwa tindakan yang salah konfigurasi dalam pengelolaan data bisa berakibat besar. Dalam satu insiden sebelumnya pada tahun 2022, perusahaan intelijen ancaman SOCRadar menemukan Azure Blob Storage yang salah konfigurasi milik Microsoft, yang berisi data sensitif yang terekspos dari tahun 2017 hingga Agustus 2022.
Kejadian ini juga menunjukkan pentingnya memiliki pemantauan dan tata kelola yang kuat terhadap data, serta menghindari penggunaan token SAS yang terlalu mengizinkan. Dengan langkah-langkah yang tepat, perusahaan dapat mengurangi risiko bocornya data sensitif dan melindungi informasi berharga mereka.
