Awal mulanya tim riset AI dari Microsoft ingin berbagi data dengan publik berupa source code and AI models untuk pengenalan wajah. Data tersebut disimpan di Azure, cloud storage milik Microsoft lalu membagikan link untuk mengunduh di GitHub Repository. Ternyata, link tersebut memberikan akses tidak hanya ke data AI models dan source code tapi juga ke data yang berisi informasi rahasia, passwords, data backup dari dua komputer dan juga archive dari isi pesan Microsoft Teams milik ratusan karyawan.

Foto: Kesalahan yang terjadi (Gambar: Wiz.io)

Setelah ditelusuri, ternyata terdapat kesalahan permission dalam membagi folder data. Azure menggunakan mekanisme Shared Access Signature (SAS) tokens dalam memberikan permission dan membuat shareable link untuk mengakses data. Pada Azure server, ada tiga jenis SAS tokens; User Delegation, Service dan Account. Dalam kasus ini, tim riset tersebut memilih menggunakan Account SAS, yang memang sangat flexible dan banyak pilihan pengaturan. Pada Account SAS, kita bisa memberikan full permission ke lebih dari satu resources/services tanpa ada batasan waktu. Jadi kalau sampai semua itu diberikan, ibarat memberikan permission yang mirip dengan si pemilik data; Dan itu yang terjadi.

Foto: Permissions yang diberikan (Gambar: Wiz.io)

Yang jadi permasalahan lain, setelah permission dipilih dan access token diterbitkan, ternyata token itu tidak bisa dimonitor oleh Azure server karena dilakukan dari sisi client. Akibatnya Account SAS token akan sangat sulit untuk dimonitor oleh server administrator.

Permasalahan ini ditemukan pada Juni 2023 oleh tim riset dari Wiz, sebuah perusahaan cloud security, tiga tahun setelah SAS token itu diterbitkan. Di hari yang sama, masalah ini dilaporkan ke Microsoft dan SAS token sudah dinon-aktifkan. Setelah investigasi, Microsoft menginformasikan bahwa tidak ada bukti kalau data-data rahasia tersebut berhasil diakses pihak lain dan tidak ada resiko yang ditimbulkan akibat dari kebocoran data ini. Supaya menghindari kesalahan yang sama, Microsoft memberikan anjuran untuk tidak menggunakan Account SAS dalam memberikan akses ke publik. Dan juga kini Microsoft menyediakan fitur scanning SAS token agar bisa memonitor SAS token yang aktif.