Seperti yang kita tahu, Bing saat ini mendapatkan lebih banyak perhatian dibandingkan beberapa tahun kebelakang, dimana hal ini berkat peluncuran Bing Chat hasil kerjasama antara Microsoft dan OpenAI.
Namun sebelum pengungkapan Chatbot baru mereka itu, sebuah perusahaan riset keamanan bernama Wiz menemukan sebuah kelemahan keamanan utama di Bing yang memungkinkan hacker untuk mendapatkan informasi pribadi dan bahkan mengubah hasil pencarian.
Mengenai hal ini, Hillai Ben-Sasson dari Wiz memposting thread di Twitter mengenai temuannya minggu, dimana seperti dilaporkan The Wall Street Journal, masalah ini dimulai pada bulan Januari 2023 ketika Wiz menemukan “konfigurasi aneh di Azure” dimana Ben-Sasson dapat mengeksploitasi konfigurasi ini untuk masuk ke fitur Microsoft Bing Trivia.
Setelah uji coba, Ben akhirnya mengetahui bahwa dia dapat menggunakan kelemahan ini untuk benar benar membuat perubahan pada hasil pencarian Bing seperti yang ditunjukkan pada gambar berikut.
Kelehaman ini memungkinkan Wiz untuk menerbitkan token Office untuk setiap pengguna yang masuk, dimana artinya, seorang hacker dapat menggunakan eksploitasi ini utnuk mendapatkan informasi pribadi dari pengguna Bing, termasuk email Outlook, Chat di Microsoft Teams, dan masih banyak lagi.
Menurut kepala petugas teknologi Wiz Ami Luttwak via The Wall Street Journal, kelemanan ini bisa digunakan untuk mempengaruhi opini publik atau digunakan untuk kepentingan finansial lainnya.
Bug Telah Diperbaiki!
Tentu saja, disaat kabar ini bocor tentu masalah sudah diselesaikan, karena jika tidak maka akan banyak orang yang coba coba untuk menemukan dan mencari celah dari kelemahan ini.
Berdasarkan postingan resmi Microsoft, setelah mereka mendapatkan laporan dari Wiz, mereka langsung memperbaiki masalah ini pada Azure dan Bing seperti yang disebutkan berikut:
"Azure AD telah diperbarui untuk berhenti mengeluarkan token akses ke klien yang tidak terdaftar di penyewa sumber daya. Ini mencegah masalah ini terjadi bahkan jika aplikasi tidak menangani pemeriksaan otorisasi dengan benar."
Apakah Wiz mendapatkan hadiah? oh jelas iya dong, karena Ben Sasson dalam Twitternya menyatakan bahwa Microsoft memberikan Wiz Hadiah sebesar $40.000 USD karena menemukan dan melaporkan masalah tersebut.
Hadiah tersebut tentu cukup banyak, namun sebanding dengan apa yang telah ditemukan oleh Wiz, mengingat kelemahan tersebut bisa berakibat fatal jika tidak segera diperbaiki.
Bagaimana menurutmu? komen dibawah guys.
Via : The Wall Street Journal, Neowin
