Reporter: Adrianus Octaviano | Editor: Herlina Kartika Dewi
KONTAN.CO.ID - SAN FRANSISCO. Microsoft memperingatkan ribuan pelanggan komputasi awannya, termasuk beberapa perusahaan terbesar di dunia, bahwa penyusup dapat memiliki kemampuan untuk membaca, mengubah atau bahkan menghapus basis data utama mereka.
Sebuah tim peneliti di perusahaan keamanan Wiz menemukan bahwa ia dapat mengakses kunci yang mengontrol akses ke database yang dipegang oleh ribuan perusahaan. Chief Technology Officer Wiz Ami Luttwak adalah mantan chief technology officer di Microsoft Cloud Security Group.
Karena Microsoft tidak dapat mengubah kunci itu sendiri, perusahaan mengirim email kepada pelanggan pada hari Kamis untuk meminta mereka membuat yang baru. Microsoft membayar Wiz senilai US$ 40.000 untuk menemukan cacat dan melaporkannya.
Email Microsoft kepada pelanggan mengatakan telah memperbaiki kerentanan yang terdapat pada basis data Cosmos DB, andalan Microsoft Azure dan tidak ada bukti kelemahan tersebut telah dieksploitasi.
Baca Juga: Microsoft hentikan dukungan aplikasi Office di laptop Chromebook mulai September
“Ini adalah kerentanan cloud terburuk yang dapat Anda bayangkan. Ini adalah rahasia jangka panjang,” kata Luttwak seperti dikutip dari Reuters, Jumat (27/8).
Cacatnya ada di alat visualisasi yang disebut Jupyter Notebook, yang telah tersedia selama bertahun-tahun tetapi diaktifkan secara default di Cosmos mulai Februari.
Pengungkapan ini muncul setelah berbulan-bulan berita keamanan buruk bagi Microsoft. Perusahaan itu dibobol oleh peretas pemerintah Rusia yang diduga sama dengan yang menyusup ke SolarWinds, yang mencuri kode sumber Microsoft.
Kemudian sejumlah besar peretas membobol server email Exchange saat patch sedang dikembangkan.
Masalah dengan Azure sangat meresahkan, karena Microsoft telah mendorong perusahaan-perusahan untuk meninggalkan sebagian besar infrastruktur mereka sendiri dan mengandalkan cloud dengan keamanan lebih.
Hanya saja, serangan terhadap cloud memang lebih jarang terjadi. Namun, hal tersebut bisa lebih menghancurkan ketika terjadi terlebih beberapa kasus tidak pernah dipublikasikan.
“Laboratorium penelitian yang dikontrak secara federal melacak semua kelemahan keamanan yang diketahui dalam perangkat lunak dan menilainya berdasarkan tingkat keparahannya. Tetapi masih banyak kerentanan kritis tetap tidak diungkapkan kepada pengguna,” kata Luttwak.
