Gawat, Kesalahan Konfigurasi Tim AI Microsoft Bocorkan 38TB Data dan 30.000 Pesan Teams

Liputan6.com, Jakarta - Tim AI GitHub Microsoft dikabarkan tanpa sengaja membocorkan data pribadi sebesar 38TB (terabyte). Tidak hanya itu, sebanyak lebih dari 30.000 pesan internal Microsoft Teams dari 350 karyawan juga terekspos.

Data yang diekspos termasuk cadangan penuh dari dua komputer karyawan. Cadangan ini berisi data pribadi sensitif, termasuk kata sandi layanan Microsoft.

Dilaporkan Mashable, Rabu (20/9/2023), hal ini terjadi karena adanya kesalahan konfigurasi pada salah satu token SAS (Share Access Signature). Token ini merupakan URL bertanda tangan yang memberikan akses ke data Azure Storage.

Token SAS dapat diatur dengan batasan pada file yang diakses. Namun, dalam kasus ini tautan khusus tersebut dikonfigurasi dengan akses penuh.

Tautan yang disediakan oleh tim AI Microsoft memberi akses penuh ke seluruh akun penyimpanan Azure. Dengan demikian, pengunjung tidak hanya dapat melihat apa yang ada pada akun, tetapi mereka juga bisa mengunggah, menimpa, dan menghapus file.

Kesalahan ini terjadi setelah tim AI Microsoft mengunggah sekumpulan data pelatihan yang berisi kode sumber terbuka dan model AI untuk pengenalan gambar.

Dikutip dari Tech Crunch, Wiz melaporkan bahwa kesalahan ini sudah terjadi sejak tahun 2020 lalu. URL yang telah mengekspos data sejak 2020 ini salah dikonfigurasi untuk izin "kontrol penuh". Seharusnya izin ini hanya memberikan akses baca bagi pengguna.

Dengan demikian, kesalahan ini bisa saja menjadi fatal apabila ada pengguna yang memasukkan konten berbahaya dalam penyimpanan.

Wiz telah menghubungi pihak Microsoft terkait dengan adanya kebocoran data ini pada 22 Juni 2023. Kemudian, pihak Microsoft menanggapi laporan tersebut dengan membatalkan token SAS. 

Perusahaan perangkat lunak ini juga melakukan dan menyelesaikan penyelidikan terhadap potensi dampak dari kesalahan ini pada bulan Agustus 2023.

Microsoft menyatakan bahwa tidak ada data yang pelanggan yang terungkap dan tidak ada layananan yang terkena risiko dari adanya masalah ini.

Dikutip dari blog Wiz, Rabu (20/9/2023), kasus ini adalah contoh risiko baru yang dihadapi perusahaan ketika mulai memanfaatkan kekuatan AI secara lebih luas.

Permasalahan ini datang karena semakin banyaknya data yang digunakan untuk pelatihan. Dengan demikian, tim pelatihan juga perlu memberikan pemeriksaan keamanan dan perlindungan tambahan.

Diberitakan dari blog Wiz, Rabu (20/9/2023), repositori GitHub di bawah organisasi Microsoft bernama robust-models-transfer. Repositori ini milik divisi penelitian AI Microsoft yang bertujuan untuk menyediakan kode sumber terbuka dan model AI untuk pengenalan gambar.

Pembaca repositori diperintahkan untuk mengunduh model dari URL Azure Storage. 

Tujuan dari adanya repositori adalah menyediakan model AI untuk digunakan dalam model pelatihan. Repositori menginstruksikan pengguna untuk megunduh file data model dari tautan SAS dan memasukkan ke dalam skrip.

Format file yang digunakan adalah ckpt. Format  ini dihasilkan oleh pustaka TensorFlow dengan menggunakan pemformatan Phyton pickle. Ini sangat rentan terhadap eksekusi kode arbitrer.

Dengan demikian, ada kemungkinan kode berbahaya dapat dimasukkan ke semua model AI di akun penyimpanan ini. Setiap pengguna repositori GitHub Microsoft juga akan terinfeksi kode tersebut.

Token SAS berpotensi menimbulkan risiko keamanan. Hal ini bisa saja terjadi karena memungkinkan berbagi informasi dengan identitas eksternal yang tidak teridentifikasi.

Risiko tersebut bisa dilihat dari perizinan, pembersihan, manajemen, dan monitoring.

Token SAS dapat memberikan tingkat akses yang tinggi ke akun penyimpanan. Tidak hanya itu, token ini juga memberikan akses kepada pengguna untuk mengakses penyimpanan.

Token SAS juga memiliki masa berlaku yang sangat lama. Misalnya, token Microsoft yang berlaku hingga tahun 2051.

Token akun SAS sangat sulit untuk dikelola dan dicabut. Tidak ada cara resmi untuk melacak token ini di Azure. Dengan demikian, akan sulit untuk mengetahui berapa banyak token yang telah diterbitkan dan digunakan.

Memonitor penggunaan token SAS menjadi sebuah tantangan, karena memerlukan pengaktifan logging pada setiap akun penyimpanan terpisah. Tidak hanya itu, biayanya juga mahal, karena tergantung volume permintaan tiap akun penyimpanan.