Microsoft ha estado empujando a los usuarios de Windows hacia su navegador Edge y motor de búsqueda Bing.
Desafortunadamente, un nuevo informe de seguridad revela que un servidor back-end asociado con Bing ha expuesto datos sensibles pertenecientes a usuarios de la aplicación móvil.
Fuga de datos del servidor asociado de Bing: Lo que fue expuesto?
Los datos expuestos incluyen consultas de búsqueda, detalles del dispositivo, coordenadas GPS. La buena noticia es que no se ha expuesto información personal., como nombres y direcciones.
La fuga de datos fue descubierta por el investigador de WizCase Ata Hackil. La fuga masiva de datos, que consta de una caché de 6.5 TB de archivos de registro que se realizaron a través de un servidor Elastic no seguro. Como se vio en otros casos similares, el servidor elástico no estaba protegido con contraseña cuando ocurrió la fuga. Sin embargo, Cabe destacar que el servidor tenía contraseña hasta septiembre 10, que luego fue eliminado.
"Ha habido mas de 10,000,000 descargas solo en Google Play, y millones de búsquedas realizadas diariamente a través de la aplicación móvil," el informe muestra.
Esto es lo que ha expuesto la fuga de datos:
-Términos de búsqueda en texto claro, excluyendo los ingresados en modo privado
-Coordenadas de ubicación: Si el permiso de ubicación está habilitado en la aplicación, una ubicación precisa, dentro 500 metros, fue incluido en el conjunto de datos.
Si bien las coordenadas expuestas no son precisas, todavía dan un perímetro relativamente pequeño de donde se encuentra el usuario. Simplemente copiándolos en Google Maps, podría ser posible usarlos para rastrear hasta el propietario del teléfono.
-La hora exacta en que se ejecutó la búsqueda..
-Tokens de notificación de Firebase
-Datos del cupón, como las marcas de tiempo de cuándo la aplicación copió o aplicó automáticamente un código de cupón y en qué URL estaba
-Una lista parcial de las URL que los usuarios visitaron desde los resultados de búsqueda.
-Dispositivo (Teléfono o tableta) modelo
-Sistema operativo
-3 números de identificación únicos separados asignados a cada usuario que se encuentran en los datos
Los investigadores también estimaron que el servidor estaba "creciendo hasta 200 GB por día"., especulando así que cualquier persona que haya realizado una búsqueda en Bing a través de la aplicación móvil mientras el servidor estaba desprotegido está en riesgo. Gente de más 70 se ven afectados los países.
Lo peor es que el servidor expuesto fue atacado por piratas informáticos de Meow.:
Por lo que vimos, entre el 10 y el 12 de septiembre, el servidor fue atacado por un ataque Meow que eliminó casi toda la base de datos. Cuando descubrimos el servidor el día 12, 100 Se habían recopilado millones de registros desde el ataque.. Hubo un segundo ataque Meow en el servidor en septiembre 14.
Considerando el tipo de información sensible que fue expuesta, los piratas informáticos pueden intentar chantajear a las víctimas. Otros escenarios de ataque incluyen estafas de phishing e incluso ataques físicos y robos..
Los investigadores revelaron sus hallazgos al Centro de Respuesta de Seguridad de Microsoft., y la empresa abordó el problema en septiembre 16.
Hay demasiados servidores desprotegidos
En julio, Investigadores de SafetyDetestives descubrió un servidor asociado a Avon que no tenía ninguna medida de seguridad básica en su lugar, y se puede acceder fácilmente.
Gracias a esta debilidad de seguridad, los investigadores dieron a conocer 19 millones de registros de individuos asociados con Avon, que incluía información personal de los empleados y datos del sitio web.