Microsoft a poussé les utilisateurs de Windows vers son navigateur Edge et son moteur de recherche Bing.
Malheureusement, un nouveau rapport de sécurité révèle qu'un serveur back-end associé à Bing a exposé des données sensibles appartenant aux utilisateurs de l'application mobile.
Fuite de données du serveur Bing Associated: Ce qui a été exposé?
Les données exposées incluent les requêtes de recherche, détails de l'appareil, Les coordonnées GPS. La bonne nouvelle est qu'aucune information personnelle n'a été exposée, comme les noms et adresses.
La fuite de données a été découverte par Ata Hackil, chercheur sur WizCase. La fuite massive de données, consistant en un cache de 6,5 To de fichiers journaux via un serveur Elastic non sécurisé. Comme vu dans d'autres cas similaires, le serveur Elastic n'était pas protégé par mot de passe lorsque la fuite s'est produite. Cependant, il est à noter que le serveur avait un mot de passe jusqu'en septembre 10, qui a ensuite été supprimé.
"Il y a eu plus de 10,000,000 téléchargements sur Google Play uniquement, et des millions de recherches effectuées quotidiennement via l'application mobile," le rapport montre.
Voici ce que la fuite de données a révélé:
-Termes de recherche en texte clair, excluant ceux saisis en mode privé
-Coordonnées de l'emplacement: Si l'autorisation de localisation est activée sur l'application, un emplacement précis, dans 500 mètres, a été inclus dans l'ensemble de données.
Bien que les coordonnées exposées ne soient pas précises, ils donnent toujours un périmètre relativement petit de l'endroit où se trouve l'utilisateur. En les copiant simplement sur Google Maps, il pourrait être possible de les utiliser pour remonter jusqu'au propriétaire du téléphone.
-L'heure exacte à laquelle la recherche a été exécutée.
-Jetons de notification Firebase
-Données de bon de réduction telles que les horodatages du moment où un code de bon de réduction a été copié ou appliqué automatiquement par l'application et sur quelle URL il était
-Une liste partielle des URL que les utilisateurs ont visitées à partir des résultats de la recherche
-Dispositif (Téléphone ou tablette) modèle
-Système d'exploitation
-3 numéros d'identification uniques distincts attribués à chaque utilisateur trouvé dans les données
Les chercheurs ont également estimé que le serveur «augmentait de 200 Go par jour», spéculant ainsi que quiconque a effectué une recherche Bing via l'application mobile alors que le serveur n'était pas protégé est en danger. Des gens de plus 70 les pays sont touchés.
Le pire, c'est que le serveur exposé a été attaqué par des pirates informatiques Meow:
De ce que nous avons vu, du 10 au 12 septembre, le serveur a été ciblé par une attaque Meow qui a supprimé presque toute la base de données. Quand nous avons découvert le serveur le 12, 100 millions d'enregistrements ont été collectés depuis l'attaque. Il y a eu une deuxième attaque Meow sur le serveur en septembre 14.
Compte tenu du type d'informations sensibles qui ont été exposées, les pirates peuvent tenter de faire chanter les victimes. D'autres scénarios d'attaque incluent des escroqueries par hameçonnage et même des attaques physiques et des vols.
Les chercheurs ont divulgué leurs résultats au Microsoft Security Response Center, et l'entreprise a résolu le problème en septembre 16.
Trop de serveurs non protégés là-bas
En juillet, Chercheurs sur la sécurité a découvert un serveur associé à Avon pour lesquels aucune mesure de sécurité de base n'était en place, et pourrait être facilement accessible.
Grâce à cette faiblesse de sécurité, les chercheurs ont dévoilé 19 millions d'enregistrements d'individus associés à Avon, qui comprenait les informations personnelles des employés et les données du site Web.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: