Microsoft har skubbet Windows-brugere mod Edge Browser og Bing-søgemaskinen.
Desværre, en ny sikkerhedsrapport afslører, at en back-end-server er tilknyttet Bing har udsat følsomme data, der tilhører brugere af mobilapplikationen.
Bing-tilknyttet serverdatalækage: Hvad blev eksponeret?
Eksponerede data inkluderer søgeforespørgsler, enhedsoplysninger, GPS-koordinater. Den gode nyhed er, at ingen personlige oplysninger er blevet afsløret, såsom navne og adresser.
Datalækagen blev opdaget af WizCase-forsker Ata Hackil. Den massive datalækage, bestående af en 6,5 TB cache af logfiler skete gennem en usikret elastisk server. Som det ses i andre lignende tilfælde, Den elastiske server var ikke adgangskodebeskyttet, da lækagen fandt sted. Men, det er bemærkelsesværdigt, at serveren havde en adgangskode indtil september 10, som derefter blev fjernet.
"Der har været mere end 10,000,000 downloads på Google Play alene, og millioner af søgninger udført dagligt via mobilappen," rapporten viser.
Her er hvad datalækagen har afsløret:
-Søgeudtryk i klar tekst, eksklusive dem, der er indtastet i privat tilstand
-Placeringskoordinater: Hvis placeringstilladelsen er aktiveret i appen, en præcis placering, inden for 500 meter, blev inkluderet i datasættet.
Mens de eksponerede koordinater ikke er præcise, de giver stadig en relativt lille omkreds af, hvor brugeren er placeret. Ved blot at kopiere dem på Google Maps, det kunne være muligt at bruge dem til at spore tilbage til ejeren af telefonen.
-Det nøjagtige tidspunkt, hvor søgningen blev udført.
-Firebase-underretningstokens
-Kupondata såsom tidsstempler for, hvornår en kuponkode blev kopieret eller automatisk anvendt af appen, og på hvilken URL den var
-En delvis liste over webadresserne, som brugerne besøgte fra søgeresultaterne
-enhed (Telefon eller tablet) model
-Operativsystem
-3 separate unikke ID-numre tildelt til hver bruger, der findes i dataene
Forskerne vurderede også, at serveren "voksede med så meget som 200 GB pr. Dag", spekulerer således i, at enhver, der har foretaget en Bing-søgning via mobilappen, mens serveren var ubeskyttet, er i fare. Mennesker fra over 70 lande er berørt.
Hvad der er værre er, at den eksponerede server blev angrebet af Meow-hackere:
Fra hvad vi så, mellem 10. - 12. september, serveren blev målrettet af et Meow-angreb, der slettede næsten hele databasen. Da vi opdagede serveren den 12., 100 millioner poster var blevet samlet siden angrebet. Der var et andet Meow-angreb på serveren i september 14.
I betragtning af den type følsomme oplysninger, der blev udsat for, hackere kan forsøge at afpresse ofre. Andre angrebsscenarier inkluderer phishing-svindel og endda fysiske angreb og røveri.
Forskerne afslørede deres resultater til Microsoft Security Response Center, og virksomheden tog fat på problemet i september 16.
For mange ikke-beskyttede servere derude
I juli, SafetyDetestives forskere opdagede en Avon-associeret server der ikke havde nogen grundlæggende sikkerhedsforanstaltninger på plads, og let kunne fås.
Takket være denne sikkerhedssvaghed, forskerne afslørede 19 millioner optegnelser over personer, der er forbundet med Avon, der inkluderede personlige oplysninger om medarbejdere og webstedsdata.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: