天创培训:您身边的信息安全培训专家!
行业动态
微软必应服务器公开用户搜索查询和位置数据

错误配置的服务器记录了来自Bing移动应用程序的数据。

WizCase在线安全团队发现,微软的一台服务器在记录Bing移动应用程序数据时发生了大规模数据泄露。泄漏是通过一个不安全的ElasticSearch服务器发现的。

该研究小组由白帽黑客Ata Hackil领导,他认为这种不安全的服务器可能允许第三方获取关键敏感数据,如搜索查询。

必应手机应用程序在谷歌和苹果商店都有。它在谷歌游戏商店有超过1000万的下载量,每天有数百万的搜索通过它进行。

WizCase的研究团队在互联网上搜索开放数据库或服务器时发现了这个数据库,并定位了一个不受保护的ElasticSearch服务器,该服务器正在以明文格式记录搜索查询词、位置坐标和设备细节。

该服务器还显示了搜索查询执行的确切时间、设备模型、Firebase通知令牌(允许开发人员向特定设备发送通知)、用户从搜索结果中选择访问的url列表和优惠券数据,包括复制代码时的信息。

另外,泄露的数据中有一部分是惟一的ID(比如ADIDDevicehashDeviceID)和操作系统数据。

 微软,数据

此外,研究人员发现,如果用户在Bing应用上启用了定位权限,那么服务器会在500米范围内暴露出精确的位置数据。研究人员声称,虽然暴露的坐标并不精确,但可以给出用户位置的一个可能参数。

研究人员在一篇博客文章中写道:“只要简单地把它们复制到谷歌地图上,就有可能利用它们追踪到手机的主人。

好消息是,Bing搜索引擎移动应用用户的个人数据,比如他们的姓名,没有被曝光。此外,以私有模式输入查询的用户不受影响。

然而,WizCase的研究人员认为,无论泄露什么数据,都足以让恶意行为者进行网络钓鱼、敲诈攻击和其他类型的恶意活动。他们所需要做的就是将用户身份与位置数据和搜索查询链接起来。

微软,数据

此外,攻击者会根据搜索查询数据了解用户的日常生活,以及他们是否有现金或昂贵的物品。这一消息会带来被抢劫的危险。

研究人员指出:“例如,如果一个人想要搜索到哪里可以买到一件昂贵的物品或去商店的方向,攻击者就有可能把物品偷走。

 WizCase研究人员蔡斯·威廉姆斯(Chase Williams)表示,他们没有计算出受辐射影响的确切用户数量,但他们推测,这个数字可能很高。

基于如此庞大的数据,我们可以有把握地推测,在服务器被曝光后,任何使用手机应用程序必应进行搜索的人都有风险。我们看到了来自70多个国家的搜索记录。威廉姆斯写道。

 他们还声称,在910日、12日和14日期间,服务器遭到了攻击。

从我们看到的情况来看,在910日到12日之间,服务器遭到了一场攻击,几乎删除了整个数据库。当我们发现服务器上的12,000,000,000条记录已经被收集自攻击。914日,服务器上又发生了第二次猫叫攻击。

这次事件不应该让人感到意外,因为Elasticsearch服务器有很长的在线数据曝光历史。此外,在过去的几年里,错误配置的数据库已经暴露了数十亿的敏感记录。

微软在辩护中声称,暴露的数据量很小。公司发言人表示:

我们已经修复了一个导致少量搜索查询数据暴露的错误配置。经过分析,我们确定暴露的数据是有限的,不确定的。

 (来源:HackRead)