Hacker China Curi 60 Ribu Email dari Departemen Luar Negeri AS

Awal September 2023 ini, Microsoft mengatakan bahwa peretasan pejabat senior di Departemen Luar Negeri dan Perdagangan AS berasal dari peretasan akun perusahaan insinyur Microsoft.

Peretas berhasil mengekstrak kunci kriptografi dari akun sang insinyur dan menggunakannya untuk mengakses akun email yang seharusnya tidak dapat mereka akses.

“Kami perlu memperkuat pertahanan terhadap serangan dan penyusupan siber semacam ini,” kata Senator Erick Schmitt

“Kami juga perlu mencermati ketergantungan pemerintah federal pada satu vendor sebagai potensi titik lemahnya,” tambahnya.

Juru bicara Microsoft belum memberikan komentar mengenai tanggapan senat tersebut. Microsoft mengatakan bahwa kelompok peretas yang dijuluki Storm-0558 telah membobol akun webmail yang berjalan pada layanan Outlook perusahaan tersebut.

Peretas diduga telah mencuri ratusan ribu email dari pejabat tinggi AS, termasuk Menteri Perdagangan Gina Raimondo, Duta Besar AS untuk Tiongkok Nicholas Burns, dan Asisten Menteri Luar Negeri untuk Asia Timur Daniel Kritenbrink.

Microsoft mengatakan pihaknya telah memperbaiki kelemahan yang menyebabkan kunci dapat diakses oleh peretas. Perwakilan Microsoft juga mengklaim akun insinyur tersebut telah diserang menggunakan "malware pencuri token".

Dilansir Reuters, Jpada akhir Juni 2023, salah satu klien pakar keamanan siber Steven Adair mendapat peringatan dari Microsoft. Akun email salah satu karyawan klien yang menangani masalah hak asasi manusia telah disusupi.

Adair berupaya melakukan penyelidikan, tetapi tidak dapat menemukan apa pun. Para peretas email tersebut adalah peretas yang sama dengan pencuri data pejabat Amerika Serikat.

Microsoft mengatakan peretasan tersebut dilakukan bukan dengan membajak komputer atau mencuri kata sandi. Melainkan dengan memanfaatkan masalah keamanan yang masih dirahasiakan pada layanan email online perusahaan yang ada di mana-mana.

Karena klien Adair tidak membayar Microsoft untuk paket keamanan premiumnya, data forensik terperinci tidak tersedia. Adair kini mendorong Microsoft untuk memberikan data tambahan kepada kliennya secara gratis.

Senator AS Ron Wyden mengatakan, Microsoft harus menawarkan kemampuan forensik penuh kepada semua pelanggannya.

Tim AI GitHub Microsoft dikabarkan tanpa sengaja membocorkan data pribadi sebesar 38TB (terabyte). Tidak hanya itu, sebanyak lebih dari 30.000 pesan internal Microsoft Teams dari 350 karyawan juga terekspos.

Data yang diekspos termasuk cadangan penuh dari dua komputer karyawan. Cadangan ini berisi data pribadi sensitif, termasuk kata sandi layanan Microsoft.

Dilaporkan Mashable, Rabu (20/9/2023), hal ini terjadi karena adanya kesalahan konfigurasi pada salah satu token SAS (Share Access Signature). Token ini merupakan URL bertanda tangan yang memberikan akses ke data Azure Storage.

Token SAS dapat diatur dengan batasan pada file yang diakses. Namun, dalam kasus ini tautan khusus tersebut dikonfigurasi dengan akses penuh.

Tautan yang disediakan oleh tim AI Microsoft memberi akses penuh ke seluruh akun penyimpanan Azure. Dengan demikian, pengunjung tidak hanya dapat melihat apa yang ada pada akun, tetapi mereka juga bisa mengunggah, menimpa, dan menghapus file.

Kesalahan ini terjadi setelah tim AI Microsoft mengunggah sekumpulan data pelatihan yang berisi kode sumber terbuka dan model AI untuk pengenalan gambar.