天创培训:您身边的信息安全培训专家!
开班计划
2020年6月CISP直播班
主讲老师   张老师、王老师等
开课时间   6月
培训方式   网络课程
授课天次   培训5天+考试半天
上课时间   6月
课程介绍 在线报名
CISP-PTE渗透测试工程师6月周末直播班开班通知
主讲老师   张老师、王老师等
开课时间   6月
培训方式   网络课程
授课天次   培训+考试
上课时间   6月
课程介绍 在线报名
行业动态您当前位置:首页 > 最新动态 > 行业动态

微软必应服务器公开用户搜索查询和位置数据

作者:天创培训  来源:px.tcnet.com.cn  更新时间:2020-09-27  关键词:微软,数据

错误配置的服务器记录了来自Bing移动应用程序的数据。

WizCase在线安全团队发现,微软的一台服务器在记录Bing移动应用程序数据时发生了大规模数据泄露。泄漏是通过一个不安全的ElasticSearch服务器发现的。

该研究小组由白帽黑客Ata Hackil领导,他认为这种不安全的服务器可能允许第三方获取关键敏感数据,如搜索查询。

必应手机应用程序在谷歌和苹果商店都有。它在谷歌游戏商店有超过1000万的下载量,每天有数百万的搜索通过它进行。

WizCase的研究团队在互联网上搜索开放数据库或服务器时发现了这个数据库,并定位了一个不受保护的ElasticSearch服务器,该服务器正在以明文格式记录搜索查询词、位置坐标和设备细节。

该服务器还显示了搜索查询执行的确切时间、设备模型、Firebase通知令牌(允许开发人员向特定设备发送通知)、用户从搜索结果中选择访问的url列表和优惠券数据,包括复制代码时的信息。

另外,泄露的数据中有一部分是惟一的ID(比如ADIDDevicehashDeviceID)和操作系统数据。

 微软,数据

此外,研究人员发现,如果用户在Bing应用上启用了定位权限,那么服务器会在500米范围内暴露出精确的位置数据。研究人员声称,虽然暴露的坐标并不精确,但可以给出用户位置的一个可能参数。

研究人员在一篇博客文章中写道:“只要简单地把它们复制到谷歌地图上,就有可能利用它们追踪到手机的主人。

好消息是,Bing搜索引擎移动应用用户的个人数据,比如他们的姓名,没有被曝光。此外,以私有模式输入查询的用户不受影响。

然而,WizCase的研究人员认为,无论泄露什么数据,都足以让恶意行为者进行网络钓鱼、敲诈攻击和其他类型的恶意活动。他们所需要做的就是将用户身份与位置数据和搜索查询链接起来。

微软,数据

此外,攻击者会根据搜索查询数据了解用户的日常生活,以及他们是否有现金或昂贵的物品。这一消息会带来被抢劫的危险。

研究人员指出:“例如,如果一个人想要搜索到哪里可以买到一件昂贵的物品或去商店的方向,攻击者就有可能把物品偷走。

 WizCase研究人员蔡斯·威廉姆斯(Chase Williams)表示,他们没有计算出受辐射影响的确切用户数量,但他们推测,这个数字可能很高。

基于如此庞大的数据,我们可以有把握地推测,在服务器被曝光后,任何使用手机应用程序必应进行搜索的人都有风险。我们看到了来自70多个国家的搜索记录。威廉姆斯写道。

 他们还声称,在910日、12日和14日期间,服务器遭到了攻击。

从我们看到的情况来看,在910日到12日之间,服务器遭到了一场攻击,几乎删除了整个数据库。当我们发现服务器上的12,000,000,000条记录已经被收集自攻击。914日,服务器上又发生了第二次猫叫攻击。

这次事件不应该让人感到意外,因为Elasticsearch服务器有很长的在线数据曝光历史。此外,在过去的几年里,错误配置的数据库已经暴露了数十亿的敏感记录。

微软在辩护中声称,暴露的数据量很小。公司发言人表示:

我们已经修复了一个导致少量搜索查询数据暴露的错误配置。经过分析,我们确定暴露的数据是有限的,不确定的。

 (来源:HackRead)



推荐阅读

网站首页 |  关于天创 |  课程体系 |  最新动态 |  联系我们 |  网站地图 |  二维码
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
苏州总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000