Microsoft hat Windows-Benutzer in Richtung seiner Edge-Browser- und Bing-Suchmaschine gedrängt.
Leider, Ein neuer Sicherheitsbericht zeigt, dass ein Back-End-Server zugeordnet ist Bing hat vertrauliche Daten von Benutzern der mobilen Anwendung offengelegt.
Bing Associated Server Datenleck: Was wurde ausgesetzt?
Zu den exponierten Daten gehören Suchanfragen, Gerätedetails, GPS Koordinaten. Die gute Nachricht ist, dass keine persönlichen Informationen offengelegt wurden, wie Namen und Adressen.
Das Datenleck wurde von der WizCase-Forscherin Ata Hackil entdeckt. Das massive Datenleck, Bestehend aus einem 6,5-TB-Cache mit Protokolldateien, der über einen ungesicherten Elastic-Server übertragen wurde. Wie in anderen ähnlichen Fällen zu sehen, Der Elastic-Server war zum Zeitpunkt des Lecks nicht kennwortgeschützt. Jedoch, Es ist bemerkenswert, dass der Server bis September ein Passwort hatte 10, welches dann entfernt wurde.
"Es gab mehr als 10,000,000 Downloads allein bei Google Play, und Millionen von Suchvorgängen werden täglich über die mobile App durchgeführt," Der Bericht zeigt.
Folgendes hat das Datenleck aufgedeckt::
-Suchbegriffe im Klartext, ausgenommen diejenigen, die im privaten Modus eingegeben wurden
-Standortkoordinaten: Wenn die Standortberechtigung in der App aktiviert ist, ein genauer Ort, innerhalb 500 Meter, wurde in den Datensatz aufgenommen.
Während die belichteten Koordinaten nicht genau sind, Sie geben immer noch einen relativ kleinen Umfang an, in dem sich der Benutzer befindet. Durch einfaches Kopieren auf Google Maps, Es könnte möglich sein, sie zu verwenden, um zum Besitzer des Telefons zurückzukehren.
-Die genaue Zeit, zu der die Suche ausgeführt wurde.
-Firebase-Benachrichtigungstoken
-Gutscheindaten wie Zeitstempel, wann ein Gutscheincode von der App kopiert oder automatisch angewendet wurde und auf welcher URL er sich befand
-Eine unvollständige Liste der URLs, die die Benutzer aus den Suchergebnissen besucht haben
-Gerät (Telefon oder Tablet) Modell-
-Betriebssystem
-3 Jedem in den Daten gefundenen Benutzer werden separate eindeutige ID-Nummern zugewiesen
Die Forscher schätzten außerdem, dass der Server „um bis zu 200 GB pro Tag wächst“., Daher wird spekuliert, dass jeder gefährdet ist, der eine Bing-Suche über die mobile App durchgeführt hat, während der Server ungeschützt war. Leute von über 70 Länder betroffen sind.
Schlimmer ist, dass der exponierte Server von Meow-Hackern angegriffen wurde:
Nach dem, was wir gesehen haben, zwischen dem 10. und 12. September, Der Server wurde von einem Meow-Angriff angegriffen, bei dem fast die gesamte Datenbank gelöscht wurde. Als wir den Server am 12. entdeckten, 100 Seit dem Angriff wurden Millionen Datensätze gesammelt. Im September gab es einen zweiten Meow-Angriff auf den Server 14.
In Anbetracht der Art der vertraulichen Informationen, die offengelegt wurden, Hacker könnten versuchen, Opfer zu erpressen. Andere Angriffsszenarien umfassen Phishing-Betrug und sogar physische Angriffe und Raubüberfälle.
Die Forscher gaben ihre Ergebnisse an das Microsoft Security Response Center weiter, und das Unternehmen ging das Problem im September an 16.
Zu viele ungeschützte Server da draußen
Im Juli, SafetyDetestives-Forscher entdeckte einen Avon-assoziierten Server Es gab keine grundlegenden Sicherheitsmaßnahmen, und könnte leicht zugänglich sein.
Dank dieser Sicherheitsschwäche, Die Forscher enthüllten 19 Millionen Aufzeichnungen von Personen, die mit Avon in Verbindung stehen, Dazu gehörten persönliche Informationen von Mitarbeitern und Website-Daten.