Windows Tips & News

Microsoft secara tidak sengaja membocorkan 38 TB data rahasia karyawan

click fraud protection

Sekali lagi, Microsoft menjadi pusat perhatian setelah pelanggaran data rahasia. Insiden tersebut disebut-sebut terjadi akibat kesalahan yang dilakukan oleh kelompok peneliti yang bekerja di bidang kecerdasan buatan.

Laporan dari perusahaan keamanan siber, Ahli, menunjukkan bahwa pelanggaran tersebut mengungkap 38 terabyte data sensitif Microsoft, termasuk kata sandi untuk Layanan Microsoft, kunci pribadi, dan lebih dari 30.000 pesan Teams internal yang dikirim oleh lebih dari 350 perusahaan karyawan. Data tersebut juga berisi tautan ke salinan cadangan komputer karyawan.

Investigasi menunjukkan bahwa pengembang Microsoft, ketika bekerja dengan GitHub, memposting token tanda tangan akses bersama (shared-access-signature, SAS) dalam bentuk terbuka di GitHub repositori, dan juga parameter akses yang tidak dikonfigurasi dengan benar ke penyimpanan cloud data internal yang berfungsi di platform Azure, memberikan akses yang terlalu permisif melalui ini token.

Hal ini memungkinkan setiap pengguna yang memiliki akses ke token dan mengetahui alamat jaringan eksternal dari cloud internal penyimpanan untuk mendapatkan kontrol penuh atas semua data di area penyimpanan Azure tertentu yang dimiliki oleh dua karyawan Microsoft akun. Tautan dalam data ini memberikan akses tak terbatas ke akun penyimpanan Azure, yang berarti bahwa file dapat diubah, ditimpa, atau dihapus oleh siapa pun.

Ternyata data ini tersedia mulai tahun 2020. Wiz memberi tahu Microsoft tentang masalah tersebut pada 22 Juni 2023, dan dua hari kemudian perusahaan tersebut mencabut token SAS. Layanan internal perusahaan tidak terpengaruh. Namun, insiden tersebut mungkin memungkinkan penyerang untuk menghapus, memodifikasi, atau memasukkan file ke dalam sistem dan layanan internal Microsoft selama jangka waktu tertentu dalam area tertentu di Azure penyimpanan.

Masalahnya tampaknya berasal dari token Shared Access Signature (SAS) yang tidak dikonfigurasi dengan benar di Azure. Meskipun fungsinya dirancang untuk membatasi akses ke file tertentu, tautan khusus ini memungkinkan akses tidak terbatas ke penyimpanan.

Microsoft telah melakukan tinjauan menyeluruh terhadap repositori publiknya dan menemukan sistem keamanan tersebut telah mendeteksi publikasi tautan tersebut pada waktunya, tetapi tautan tersebut secara keliru diidentifikasi sebagai palsu positif. Insinyur perusahaan diharapkan mengubah pengaturan sistem untuk mencegah masalah serupa terjadi di masa mendatang.

Jika Anda menyukai artikel ini, silakan bagikan menggunakan tombol di bawah. Ini tidak akan memakan banyak biaya dari Anda, namun ini akan membantu kami berkembang. Terima kasih atas dukunganmu!

Cara memindahkan Perpustakaan di atas PC ini di Windows 8.1

Cara memindahkan Perpustakaan di atas PC ini di Windows 8.1

DIREKOMENDASIKAN: Klik di sini untuk memperbaiki masalah Windows dan mengoptimalkan kinerja siste...

Baca lebih banyak

Windows 10 Touch Keyboard Dengan Arsip Taskbar

Situs web ini menggunakan cookie untuk meningkatkan pengalaman Anda saat menavigasi situs web. Da...

Baca lebih banyak

Cara Melacak Kompatibilitas Aplikasi Android dengan Windows 11

Cara Melacak Kompatibilitas Aplikasi Android dengan Windows 11

Dukungan aplikasi Android adalah salah satu perubahan terbesar di Windows 11 (dan yang paling men...

Baca lebih banyak