Mobilní aplikace Bing od Microsoftu dostupné pro Android a iOS se staly obětí úniku dat. Bezpečnostní výzkumníci našli Elastic server, u kterého byla odstraněna ochrana heslem, údajně jako „nesprávná konfigurace“ serveru, což vedlo k tomu, že na internetu bylo veřejně zpřístupněno 6,5 TB vyhledávacích dat, což vzrostlo až o 200 GB za den.
Bezpečnostní výzkumníci z WizCase našel nechráněný server 12. září, ačkoli se odhaduje, že ověření bylo odstraněno 2 dny předtím. Poté, co výzkumníci zjistili, že data pocházejí z mobilních aplikací Bing, sami provedli vyhledávání a viděli, jak se objevila v datech, 13. září kontaktovali společnost Microsoft a informace byly předány Centru bezpečnostní reakce společnosti Microsoft, které se snažilo problém vyřešit. o několik dní později.
Únik dat odhalil řadu dat, která Microsoft shromažďuje od uživatelů, kteří používají mobilní aplikace Bing. Údaje zahrnovaly:
- Hledané výrazy (kromě vyhledávání v „soukromém“ režimu)
- GPS souřadnice (pokud jsou povolena oprávnění k poloze, s přesností ~500 metrů)
- Datum a čas hledání
- Tokeny oznámení Firebase
- Údaje o kuponu
- Částečný seznam adres URL navštívených uživatelem z výsledků vyhledávání
- Model zařízení
- Operační systém
- 3 jedinečné identifikátory, včetně:
- ADID: možná identifikátor pro účet Microsoft
- ID zařízení
- devicehash
Žádné z dat nebylo zašifrováno.
Data byla shromážděna z více než 70 zemí a předpokládá se, že kdokoli, kdo prováděl vyhledávání pomocí mobilních aplikací Bing mezi místem, kde byl server vystaven, je ohrožen, což je zhruba mezi 10. zářím a 16. zářím.
Tým ve WizCase poukázal na to, že server byl také cílem útoku Meow, který v podstatě smazal téměř celou databázi 12. září, a dalšího útoku 14. září. Nicméně poukázali na to, že „data byla vystavena všem typy hackerů a podvodníků.“
Vzhledem k povaze vystavených údajů by mohlo být možné identifikovat jednotlivce. To by pak mohlo být použito mnoha způsoby, včetně vydírání, phishingových podvodů a fyzických útoků a loupeží. Některá specifičnost dat je alarmující, jako jsou hledané výrazy v prostém textu a souřadnice GPS, kromě možného propojení přímo s účtem Microsoft.
Za zmínku stojí některá shromážděná data vyhledávacích dotazů, která upozornila na řadu potenciálních špatných aktérů provádějících vyhledávání na Bingu. Všechny byly identifikovány vyhledávací dotazy související s dětskou pornografií, zbraněmi a zájmem o střelbu.
Tento únik dat zpochybňuje důvěru, kterou uživatelé Bingu vkládají do vyhledávače. Existuje rozumné očekávání, že vyhledávače by měly chránit identitu uživatelů a vyhledávací data, a tento únik tyto informace tak či onak přímo odhalil. Pro ty, kteří chtějí pomoci chránit své chování při vyhledávání online, se doporučuje použít „soukromý režim“, který pomůže zmírnit některé obavy o soukromí.
Můžete si přečíst celý zápis od výzkumníků v oblasti bezpečnosti a příklady dat, která jsou v nich vystavena nahlásit zde .
