Nyheder

Bing-mobilapps led af et datalæk og lækkede 6,5 TB søgedata

Bing Mobilapps Led Af Et Datalaek Og Laekkede 6 5 Tb Sogedata

Microsofts Bing-mobilapps, der er tilgængelige på Android og iOS, har været offer for et datalæk. Sikkerhedsforskere fandt en Elastic-server, der fik fjernet sin adgangskodebeskyttelse, angiveligt som en 'fejlkonfiguration' af serveren, hvilket har resulteret i, at 6,5 TB søgedata er blevet offentligt tilgængeligt på internettet, som voksede med op til 200 GB om dagen.

Sikkerhedsforskere fra WizCase fandt den ubeskyttede server den 12. september, selvom godkendelsen skønnes at være blevet fjernet 2 dage før. Efter at have opdaget, at dataene kom fra Bings mobilapps, ved selv at udføre en søgning og se dem dukke op i dataene, kontaktede forskerne Microsoft den 13. september, og oplysningerne blev givet til Microsofts Security Response Center, som handlede for at løse problemet. få dage senere.

Datalækket har afsløret en mængde data, som Microsoft indsamler fra brugere, der bruger Bing-mobilapps. Dataene omfattede:



  • Søgetermer (undtagen eventuelle søgninger i 'privat' tilstand)
  • GPS-koordinater (hvis placeringstilladelser er aktiveret, med en nøjagtighed på ~500 meter)
  • Dato og tidspunkt for søgningen
  • Firebase notifikationstokens
  • Kupondata
  • Delvis liste over de URL'er, som brugeren besøger fra søgeresultaterne
  • Enhedsmodel
  • Operativ system
  • 3 unikke identifikatorer, herunder:
    • ADID: muligvis en identifikator for en Microsoft-konto
    • enheds-id
    • devicehash

Ingen af ​​dataene var krypteret.

Data blev indsamlet fra mere end 70 lande, og det menes, at enhver, der har udført en søgning ved hjælp af Bings mobilapps mellem det punkt, hvor serveren bliver eksponeret, er i fare, hvilket er nogenlunde mellem 10. september og 16. september.

Holdet hos WizCase påpegede, at serveren også var målet for et Meow-angreb, som i det væsentlige slettede næsten hele databasen den 12. september, og et yderligere angreb den 14. september. Ikke desto mindre påpegede de, at 'dataene var eksponeret for alle typer af hackere og svindlere.'

På grund af arten af ​​de eksponerede data kan det være muligt at identificere personer. Dette kan derefter bruges på en række måder, herunder afpresning, phishing-svindel og fysiske angreb og røveri. Nogle af dataenes specificitet er alarmerende, såsom almindelig tekst søgetermer og GPS-koordinater, foruden det mulige link direkte til en Microsoft-konto.

Bemærkelsesværdigt var nogle af de søgeforespørgselsdata, der blev indsamlet, som fremhævede en række potentielle dårlige skuespillere, der udførte søgninger på Bing. Søgetermer relateret til børnepornografi, våben og interesse for skyderier blev alle identificeret.

Dette datalæk sætter spørgsmålstegn ved den tillid, som Bing-brugere har til søgemaskinen. Der er en rimelig forventning om, at søgemaskiner skal beskytte brugernes identitet og søgedata, og dette læk har direkte afsløret disse oplysninger på den ene eller anden måde. For dem, der ønsker at hjælpe med at beskytte deres online søgeadfærd, anbefales det at bruge 'privat tilstand' for at afhjælpe nogle bekymringer om privatlivets fred.

Du kan læse hele skrivelsen fra sikkerhedsforskerne og eksempler på de data, der er afsløret i deres rapporter her .



^