Peneliti AI di Microsoft Tak Sengaja Bocorkan Data Sebesar 38 TB

Menurut The Hacker News , Wiz Research - perusahaan rintisan keamanan cloud - baru-baru ini menemukan kebocoran data di repositori GitHub milik Microsoft AI, yang dikatakan telah terekspos secara tidak sengaja saat menerbitkan sekelompok data pelatihan sumber terbuka.

Data yang bocor mencakup cadangan dua stasiun kerja mantan karyawan Microsoft dengan kunci rahasia, kata sandi, dan lebih dari 30.000 pesan aplikasi Teams internal.

Repositori yang disebut "robust-models-transfer" kini tidak dapat diakses. Sebelum ditutup, repositori tersebut berisi kode sumber dan model pembelajaran mesin yang terkait dengan sebuah makalah penelitian tahun 2020.

Wiz mengatakan pelanggaran data terjadi karena token SAS yang terlalu rentan, sebuah fitur di Azure yang memungkinkan pengguna berbagi data yang sulit dilacak dan dicabut. Insiden ini dilaporkan ke Microsoft pada 22 Juni 2023.

Oleh karena itu, berkas README.md repositori tersebut memerintahkan pengembang untuk mengunduh model dari URL Azure Storage, yang secara tidak sengaja memberikan akses ke seluruh akun penyimpanan, sehingga mengungkap data pribadi tambahan.

Selain akses yang berlebihan, token SAS juga dikonfigurasi secara salah, sehingga memungkinkan kontrol penuh alih-alih akses baca-saja, kata peneliti Wiz. Jika dieksploitasi, penyerang tidak hanya dapat melihat, tetapi juga menghapus dan menimpa semua berkas di akun penyimpanan.

Menanggapi laporan tersebut, Microsoft menyatakan bahwa penyelidikannya tidak menemukan bukti kebocoran data pelanggan, dan tidak ada layanan internal lain yang berisiko akibat insiden tersebut. Perusahaan menekankan bahwa pelanggan tidak perlu mengambil tindakan apa pun, dan menyatakan telah mencabut token SAS serta memblokir semua akses eksternal ke akun penyimpanan.

Untuk memitigasi risiko serupa, Microsoft memperluas layanan pemindaian rahasianya untuk mencari token SAS yang mungkin memiliki hak istimewa terbatas atau berlebihan. Layanan ini juga mengidentifikasi bug dalam sistem pemindaian yang menandai URL SAS di repositori sebagai positif palsu.

Para peneliti mengatakan bahwa karena kurangnya keamanan dan tata kelola untuk token akun SAS, tindakan pencegahannya adalah menghindari penggunaannya untuk berbagi secara eksternal. Kesalahan pembuatan token dapat dengan mudah diabaikan dan data sensitif dapat terekspos.

Sebelumnya pada bulan Juli 2022, JUMPSEC Labs mengungkapkan adanya ancaman yang dapat mengeksploitasi akun-akun ini untuk mendapatkan akses ke bisnis.

Ini adalah pelanggaran keamanan terbaru Microsoft. Dua minggu lalu, perusahaan juga mengungkapkan bahwa peretas dari Tiongkok telah membobol dan mencuri kunci keamanan tinggi. Para peretas mengambil alih akun seorang teknisi perusahaan ini dan mengakses repositori tanda tangan digital pengguna.

Insiden terbaru menunjukkan potensi risiko penerapan AI ke dalam sistem besar, ujar Ami Luttwak, CTO Wiz CTO, yang mengatakan AI menawarkan potensi besar bagi perusahaan teknologi. Namun, seiring para ilmuwan dan insinyur data berlomba-lomba menerapkan solusi AI baru, data dalam jumlah besar yang mereka proses memerlukan pemeriksaan dan perlindungan keamanan tambahan.

Dengan banyaknya tim pengembangan yang perlu bekerja dengan data dalam jumlah besar, berbagi data tersebut dengan rekan-rekan mereka, atau berkolaborasi pada proyek sumber terbuka publik, kasus seperti Microsoft menjadi semakin sulit dilacak dan dihindari.