Divisi Microsoft AI peneliti secara tidak sengaja membocorkan 38TB milik swasta perusahaan data sambil memublikasikan pembaruan materi pelatihan AI sumber terbuka di GitHub.
Kebocoran yang terjadi sejak Juli 2020 ini ditemukan oleh para peneliti di perusahaan keamanan cloud Wiz tiga tahun kemudian.
Menurut Wiz, itu data yang terbuka termasuk cadangan disk dari dua stasiun kerja karyawan. Cadangan disk terdapat rahasia perusahaan, kunci pribadi, kata sandi, dan berakhir 30.000 pesan internal Microsoft Teams dari 359 karyawan Microsoft.
Para peneliti di Wiz menemukan masalah ini selama pemindaian internet yang sedang berlangsung untuk mencari wadah penyimpanan yang salah dikonfigurasi.
“Kami menemukan repositori GitHub di bawah nama organisasi Microsoft transfer model yang kuat. Repositori ini milik divisi penelitian AI Microsoft, dan tujuannya adalah untuk menyediakan kode sumber terbuka dan model AI untuk pengenalan gambar,” perusahaan tersebut menjelaskan dalam postingan blog.
Pembaca repositori GitHub diinstruksikan untuk mengunduh model dari URL Azure Storage. Saat berbagi file, Microsoft menggunakan fitur Azure yang disebut token Shared Access Signature (SAS), yang memungkinkan kontrol penuh atas file bersama dari akun Azure Storage.
Meskipun tingkat akses dapat dibatasi pada file tertentu saja, peneliti divisi AI secara tidak sengaja membagikan tautan itu dikonfigurasi untuk berbagi seluruh akun penyimpanan — termasuk 38TB file pribadi lainnya, yang menyebabkan kebocoran data.
Selain cakupan akses yang terlalu permisif, token juga salah dikonfigurasi untuk memungkinkan izin “kontrol penuh” alih-alih hanya baca. Ini berarti penyerang tidak hanya dapat melihat semua file di akun penyimpanan tetapi juga dapat menghapus dan menimpa file yang ada.
Wiz melaporkan kejadian tersebut ke Microsoft Security Response Center (MSRC) pada 22 Juni 2023, yang membuat token SAS tidak valid pada 24 Juni 2023, untuk memblokir semua akses eksternal ke akun penyimpanan Azure.
Microsoft menyelesaikan penyelidikannya mengenai potensi dampak organisasi pada 16 Agustus 2023, dan mengungkapkan insiden tersebut secara publik pada Senin, 18 September 2023.
Dalam sebuah penasehat diterbitkan pada hari Senin, itu tim MSRC dikatakan, "Tidak ada data pelanggan dulu terbuka, dan tidak ada layanan internal lainnya yang terkena risiko karena masalah ini. Itu akar masalah masalah untuk ini telah tetap, dan sistem kini dipastikan mendeteksi dan melaporkan dengan benar semua token SAS yang disediakan secara berlebihan.
Ia menambahkan, “Tidak diperlukan tindakan pelanggan untuk menanggapi masalah ini. Investigasi kami menyimpulkan bahwa tidak ada risiko bagi pelanggan akibat paparan ini.”