Pada periode 20 Juli 2020 sampai dengan 24 Juni 2023, perseroan Microsoft membuat sejumlah besar data tersedia untuk umum melalui repositori GitHub publik. Wiz, sebuah perusahaan keamanan cloud, menemukan dan melaporkan masalah tersebut Microsoft Pada tanggal 22 Juni 2023, dan dua hari kemudian, perusahaan membatalkan token tanpa jaminannya. Kejadian tersebut baru diketahui publik ketika Wiz merilis informasi mengenai masalah keamanan di blog resminya.
Peneliti Wiz mengatakan hal itu disebabkan oleh penyalahgunaan fitur platform Azure yang dikenal sebagai Shared Ac Tokenscess Tanda Tangan (SAS), Microsoft secara tidak sengaja mengekspos 38 terabyte data pribadi di GitHub. Arsip tersebut digunakan untuk menampung model sumber terbuka dan kecerdasan buatan untuk pengenalan gambar, dan para peneliti Microsoft AI menukar file mereka melalui token SAS yang terlalu permisif.
Token SAS menyediakan kemampuan untuk berbagi URL yang ditandatangani untuk menyediakan akses ke data yang dihosting di Azure Storage. Tingkat akses dapat dikonfigurasi oleh pengguna, dan token SAS spesifik yang digunakan oleh para peneliti Microsoft, menunjuk ke penyimpanan Azure yang salah dikonfigurasi dan berisi banyak data sensitif.
Selain data pelatihan untuk model AI-nya, Microsoft membuat salinan cadangan disk dari stasiun kerja dua karyawan tersedia untuk umum, lapor Wiz. Cadangan tersebut berisi "rahasia", kunci kriptografi pribadi, kata sandi, dan lebih dari 30 pesan internal Microsoft Tim dimiliki oleh 359 karyawan Microsoft. Sebanyak 38 TB file pribadi dapat diakses oleh siapa saja, setidaknya hingga saat ini Microsoft tidak melepaskan token SAS yang tidak aman pada 24 Juni 2023.
Terlepas dari kegunaannya, token SAS menimbulkan risiko keamanan karena kurangnya pemantauan dan pengelolaan. Wiz mengatakan penggunaannya harus “dibatasi mungkin” karena token sulit dilacak Microsoft tidak menyediakan cara terpusat untuk mengelolanya melalui portal Microsoft Azure.
Selain itu, token SAS dapat diatur untuk “penggunaan yang hampir abadi,” seperti yang dijelaskan Wiz. Token pertama yang mana Microsoft diposting di GitHub, ditambahkan pada 20 Juli 2020, dan tetap berlaku hingga 5 Oktober 2021. Token kedua kemudian ditambahkan ke GitHub, yang akan habis masa berlakunya pada 6 Oktober 2051.
Menurut Wiz, insiden multi-terabyte dengan Microsoft menyoroti risiko yang terkait dengan pelatihan model kecerdasan buatan. Para peneliti menjelaskan bahwa teknologi baru ini memerlukan “kumpulan data pelatihan yang besar” karena banyak tim pengembangan memproses “data dalam jumlah besar”, membaginya dengan rekan kerja, atau berkolaborasi dalam proyek sumber terbuka publik. Kasus-kasus seperti yang dialami Microsoft menjadi "semakin sulit dikendalikan dan dihindari".
Baca juga: