Database Rawan Disusupi, Microsoft Ingatkan Ribuan Pelanggannya

Jumat, 27 Agustus 2021 | 10:02 WIB
Database Rawan Disusupi, Microsoft Ingatkan Ribuan Pelanggannya
[ILUSTRASI. Logo Microsoft di kantornya di Beijing, China, 4 Agustus 2020. REUTERS/Thomas Peter]
Reporter: Sumber: Reuters | Editor: Thomas Hadiwinata

KONTAN.CO.ID - SAN FRANCISCO. Microsoft, Kamis (26/8), memperingatkan ribuan pelanggan komputasi awannya, termasuk beberapa perusahaan terbesar di dunia, bahwa penyusup dapat memiliki kemampuan untuk membaca, mengubah, atau bahkan menghapus basis data utama mereka, demikian keterangan yang termuat dalam salinan email dan peneliti keamanan cyber.

Kerentanan itu terletak di Cosmos DB, yang merupakan database andalan Microsoft Azure. Sebuah tim peneliti dari perusahaan keamanan Wiz, menyatakan, tim dapat mengakses seperangkat kunci yang mengontrol akses ke database yang dipegang oleh ribuan perusahaan. Wiz Chief Technology Officer Ami Luttwak adalah mantan chief technology officer di Microsoft Cloud Security Group.

Karena Microsoft tidak dapat mengubah kunci itu sendiri, perusahaan itu mengirim email ke pelanggan pada Kamis untuk meminta mereka membuat yang baru. Microsoft setuju untuk membayar Wiz US$ 40.000 untuk menemukan cacat dan melaporkannya, demikian isi dari email Microsoft ke Wiz.

Baca Juga: Platform Cryptocurrency Diretas Lagi, Kali Ini Liquid Dengan Kerugian US$ 94 Juta

“Kami segera memperbaiki masalah ini untuk menjaga keamanan dan perlindungan pelanggan kami. Kami berterima kasih kepada para peneliti keamanan karena bekerja di bawah pengungkapan kerentanan terkoordinasi,” kata Microsoft kepada Reuters.

Email Microsoft kepada pelanggan mengatakan tidak ada bukti bahwa cacat tersebut telah dieksploitasi. "Kami tidak memiliki indikasi bahwa entitas eksternal di luar peneliti (Wiz) memiliki akses ke kunci baca-tulis utama," kata email itu.

“Ini adalah kerentanan cloud terburuk yang dapat Anda bayangkan. Ini adalah rahasia jangka panjang,” kata Luttwak kepada Reuters. “Ini adalah database pusat Azure, dan kami bisa mendapatkan akses ke database pelanggan apa pun yang kami inginkan.”

Tim Luttwak menemukan masalah tersebut, yang disebut ChaosDB, pada 9 Agustus dan memberi tahu Microsoft pada 12 Agustus, kata Luttwak.

Cacatnya ada di alat visualisasi yang disebut Jupyter Notebook, yang telah tersedia selama bertahun-tahun tetapi baru diaktifkan secara default di Cosmos, mulai Februari. Setelah Reuters melaporkan kekurangan tersebut, Wiz merinci masalah tersebut dalam sebuah posting blog.

Luttwak mengatakan bahkan pelanggan yang belum diberi tahu oleh Microsoft dapat memiliki kunci mereka digesek oleh penyerang, memberi mereka akses hingga kunci tersebut diubah. Microsoft hanya memberi tahu pelanggan yang kuncinya terlihat bulan ini, ketika Wiz sedang mengerjakan masalah tersebut.

Microsoft mengatakan kepada Reuters bahwa "pelanggan yang mungkin terkena dampak menerima pemberitahuan dari kami," tanpa menjelaskan lebih lanjut.

Pengungkapan itu muncul setelah berbulan-bulan berita keamanan buruk bagi Microsoft. Perusahaan itu dilanggar oleh peretas pemerintah Rusia yang diduga sama yang menyusup ke SolarWinds, yang mencuri kode sumber Microsoft. Kemudian sejumlah besar peretas masuk ke server email Exchange saat tambalan sedang dikembangkan.

Baca Juga: Pengadilan London Minta Binance Lacak dan Identifikasi Peretas Akun Penggunanya

Perbaikan terbaru untuk kesalahan printer yang memungkinkan pengambilalihan komputer harus dilakukan berulang kali. Cacat Exchange lain, minggu lalu, mendorong peringatan mendesak pemerintah AS bahwa pelanggan perlu menginstal tambalan yang dikeluarkan beberapa bulan lalu karena geng ransomware sekarang mengeksploitasinya.

Masalah dengan Azure sangat meresahkan, karena Microsoft dan pakar keamanan luar telah mendorong perusahaan untuk meninggalkan sebagian besar infrastruktur mereka sendiri dan mengandalkan cloud untuk keamanan lebih.

Tetapi meskipun serangan cloud lebih jarang terjadi, mereka bisa lebih menghancurkan ketika terjadi. Terlebih lagi, beberapa tidak pernah dipublikasikan.

Laboratorium penelitian yang dikontrak secara federal melacak semua kelemahan keamanan yang diketahui dalam perangkat lunak dan menilainya berdasarkan tingkat keparahannya. Tetapi tidak ada sistem yang setara untuk lubang dalam arsitektur cloud, begitu banyak kerentanan kritis.

Selanjutnya: Afiliasi Livzon Pharmaceutical Sedang Mengembangkan Vaksin Covid-19 Bernama V-01

 

Bagikan

Berita Terbaru

Menakar Taji BBCA, BBRI, BMRI VS Saham Konglomerat yang Jadi Nakhoda Penggerak IHSG
| Minggu, 13 Juli 2025 | 14:42 WIB

Menakar Taji BBCA, BBRI, BMRI VS Saham Konglomerat yang Jadi Nakhoda Penggerak IHSG

Emiten dengan bobot terbesar di dalam Indeks Harga Saham Gabungan (IHSG) dikuasai oleh tiga saham perbankan keping biru..

Gaduh PKPU Emiten Pionir Bisnis Kebab Baba Rafi (RAFI), Nilamsari Buka Suara
| Minggu, 13 Juli 2025 | 14:36 WIB

Gaduh PKPU Emiten Pionir Bisnis Kebab Baba Rafi (RAFI), Nilamsari Buka Suara

Nilamsari dan Nur Arief Budiyanto menyatakan mereka telah mengajukan pengunduran diri dan disetujui dalam RUPS tanggal 26 Juni 2024.

Bank Mandiri (BMRI) Agendakan RUPSLB, Dirut Darmawan Junaidi Digosipkan Bakal Diganti
| Minggu, 13 Juli 2025 | 11:42 WIB

Bank Mandiri (BMRI) Agendakan RUPSLB, Dirut Darmawan Junaidi Digosipkan Bakal Diganti

PT Bank Mandiri Tbk mengumumkan bakal menggelar RUPSLB pada 4 Agustus 2025 mendatang, dengan Agenda: perubahan pengurus perseroan.

Perang Diskon Sepeda Motor Listrik di Tengah Ketidakpastian Subsidi
| Minggu, 13 Juli 2025 | 06:05 WIB

Perang Diskon Sepeda Motor Listrik di Tengah Ketidakpastian Subsidi

Insentif pemerintah untuk sepeda motor listrik tak kunjung turun, produsen memutar siasat menebar diskon jumbo

Panen Raya Bisnis Buku Latihan Soal Sekolah
| Minggu, 13 Juli 2025 | 05:10 WIB

Panen Raya Bisnis Buku Latihan Soal Sekolah

Penerbit buku latihan soal untuk siswa panen menjelang tahun ajaran baru. Bukunya laris diborong orang tua siswa yang in

 
Ironi Bansos untuk Judol
| Minggu, 13 Juli 2025 | 05:05 WIB

Ironi Bansos untuk Judol

​Pemerintah menemukan ada 571.410 rekening penerima bansos terindikasi digunakan untuk aktivitas judi daring pada 2024.

Terdorong Sentimen Positif Domestik, IHSG Menguat Dalam Sepekan
| Sabtu, 12 Juli 2025 | 11:30 WIB

Terdorong Sentimen Positif Domestik, IHSG Menguat Dalam Sepekan

Di akhir pekan perdagangan saham di Bursa Efek Indonesia (BEI), IHSG menclok di 7.047,43, menguat 2,65% dalam sepekan. 

Sudah Penuhi Kewajiban, BEI Cabut Suspensi Saham Kimia Farma (KAEF)
| Sabtu, 12 Juli 2025 | 11:24 WIB

Sudah Penuhi Kewajiban, BEI Cabut Suspensi Saham Kimia Farma (KAEF)

Sejak sesi pertama perdagangan saham di BEI kemarin, saham emiten farmasi pelat merah tersebut sudah kembali diperdagangkan.

Trump Tetap Patok Tarif 32%, Indonesia Patut Ikuti Langkah China Menjaring Mitra Baru
| Sabtu, 12 Juli 2025 | 10:00 WIB

Trump Tetap Patok Tarif 32%, Indonesia Patut Ikuti Langkah China Menjaring Mitra Baru

Indonesia juga mesti memaksimalkan penggunaan LCS dan BCSA untuk mengurangi ketergantungan terhadap dolar AS.

Profit 26,02% Setahun: Harga Emas Antam Hari Ini Menguat (12 Juli 2025)
| Sabtu, 12 Juli 2025 | 09:19 WIB

Profit 26,02% Setahun: Harga Emas Antam Hari Ini Menguat (12 Juli 2025)

Harga emas batangan Antam 24 karat hari ini 11 Juli 2025 di Logammulia.com Rp 1.919.000 per gram, tapi harga buyback Rp 1.763.000 per gram.

INDEKS BERITA

Terpopuler