Dalam sebuah insiden, peneliti AI Microsoft secara tidak sengaja membuat puluhan terabyte data yang sangat sensitif dapat diakses oleh publik di GitHub. Perusahaan keamanan awan (cloud security), Wiz, yang dikenal karena sering menemukan celah-celah keamanan siber perusahaan lainnya, menemukan repositori GitHub yang dimiliki oleh divisi penelitian AI Microsoft. Repositori tersebut, yang pada awalnya dimaksudkan untuk berbagi kode open source dan model AI untuk pengenalan gambar, mengandung kelemahan keamanan krusial.
Mereka yang mengunjungi repositori GitHub diinstruksikan untuk mengunduh model AI dari URL Azure Storage. Namun, Wiz menemukan bahwa URL ini telah dikonfigurasi secara salah, shingga memberikan izin tidak hanya untuk model yang dimaksud tetapi juga untuk seluruh akun penyimpananβdengan kata lain secara tidak sengaja mengekspos tambahan data pribadi.
Di antara data yang terpapar adalah 38 terabyte informasi sensitif, termasuk cadangan pribadi dari dua komputer pribadi karyawan Microsoft. Selain itu, pelanggaran keamanan ini mencakup data pribadi penting lainnya, seperti kata sandi untuk layanan Microsoft, data rahasia, dan lebih dari 30.000 pesan internal Microsoft Teams dari ratusan karyawan. Data ini rentan sejak tahun 2020, dan karena kesalahan konfigurasi, URL memungkinkan akses “kontrol penuh” bukan izin “hanya baca” yang dimaksudkan. Ini berarti bahwa siapa pun yang tahu lokasi penyimpanan data di repositori GitHub dapat menghapus, mengganti, atau menyisipkan konten berbahaya ke dalam data yang terpapar.
Penting untuk dicatat bahwa akun penyimpanan itu sendiri tidak secara langsung terpapar. Alih-alih, pengembang AI Microsoft telah menyertakan token akses bersama (SAS) dalam URL. Token SAS adalah mekanisme yang digunakan oleh Azure untuk membuat tautan yang dapat dibagikan yang memberikan akses ke data akun penyimpanan Azure.
Salah satu pendiri dan juga CTO Wiz, Ami Luttwak berpendapat bahwa tantangan dalam mengamankan data besar dalam pengembangan AI makin besar. Menurutnya, makin solutif sebuah AI yang diciptakan oleh sebuah perusahaan, maka makin besar pula lengkah keamanan tambahan yang harus diambil.
Wiz segera membagikan temuannya kepada Microsoft pada tanggal 22 Juni, dan perusahaan teknologi ini segera mengambil tindakan dengan mencabut token SAS pada tanggal 24 Juni. Selanjutnya, Microsoft melakukan penyelidikan terhadap dampak organisasional potensial dari insiden ini, dan penyelidikan selesai pada tanggal 16 Agustus.
Dalam sebuah postingan blog, Security Response Center dari Microsoft memastikan bahwa “tidak ada data pelanggan yang terpapar, dan tidak ada layanan internal lain yang terancam karena masalah ini.” Untuk mencegah insiden serupa di masa depan, Microsoft telah memperluas layanan penyebaran rahasia GitHub. Peningkatan ini dibuat untuk memastikan tidak terjadi lagi kebocoran data yang tak disengaja.