MIMBARPUBLIK.COM, Jakarta – Microsoft memperingkatkan ribuan pelanggan komputasi awan atau cloud-nya, termasuk beberapa perusahaan besar di dunia, bahwa penyusup dapat membaca, mengubah, bahkan menghapus database utama mereka.
Cosmos DB andalan Microsoft Azure rentan disusupi. Tim peneliti di perusahaan keamanan Wiz menemukan bahwa ia dapat membuka kunci yang mengontrol akses ke database yang dipegang oleh ribuan perusahaan. Melansir Reuters, Jumat 27/8/2021.
Pihak Microsoft tidak dapat mengubah kunci sehingga mereka mengirim email kepada pelanggan untuk membuat yang baru.
Dalam email yang dikirim kepada pelanggan, Microsoft mengatakan telah memperbaikinya dan tidak menemukan bukti adanya eksploitasi terhadap kelemahan tersebut.
“Kami tidak memiliki indikasi bahwa entitas eksternal di luar peneliti (Wiz) memiliki akses,” katanya.
Microsoft juga membayar Wiz sebesar 40 ribu dolar AS atau sekitar Rp578 juta untuk menemukan akar masalah dan melaporkannya.
Namun, chief technology officer Wiz Ami Luttwak mengatakan bahwa kerawanan atas keamanan tersebut merupakan yang terburuk yang ada di dalam sistem cloud.
“Ini adalah database Azure dan kami bisa mendapatkan akses ke database pelanggan mana pun yang kami inginkan,” ujarnya.
Tim Luttwak menemukan masalah tersebut yang diberi nama ChaosDB pada 9 Agustus dan melaporkannya kepada Microsoft pada 12 Agustus.
Kecacatan terdapat di alat visualisasi Jupyter Notebook, yang telah tersedia selama bertahun-tahun tetapi diaktifkan secara default di Cosmos mulai Februari.
Luttwak mengatakan, pelanggan yang belum diberi tahu oleh Microsoft pun bahkan dapat memiliki kunci mereka sendiri dari penyusup.
Masalah yang dialami Azure tentu sangat meresahkan. Pasalnya, Microsoft dan para pakar telah mendorong perusahaan untuk meninggalkan infrastruktur mereka dan mengandalkan cloud untuk mendapatkan keamanan lebih.