Microsoft ha spinto gli utenti Windows verso il suo browser Edge e il motore di ricerca Bing.
Sfortunatamente, un nuovo rapporto sulla sicurezza rivela che un server back-end associato a Bing ha esposto dati sensibili appartenenti agli utenti dell'applicazione mobile.
Perdita di dati del server associato a Bing: Cosa è stato esposto?
I dati esposti includono le query di ricerca, dettagli del dispositivo, coordinate GPS. La buona notizia è che nessuna informazione personale è stata esposta, come nomi e indirizzi.
La fuga di dati è stata scoperta dal ricercatore di WizCase Ata Hackil. La massiccia fuga di dati, costituito da una cache da 6,5 TB di file di registro avvenuti tramite un server elastico non protetto. Come visto in altri casi simili, il server Elastic non era protetto da password quando si è verificata la perdita. Tuttavia, è interessante notare che il server aveva una password fino a settembre 10, che è stato poi rimosso.
"Ce ne sono stati più di 10,000,000 download solo su Google Play, e milioni di ricerche eseguite ogni giorno tramite l'app mobile," il rapporto mostra.
Ecco cosa ha rivelato la fuga di dati:
-Termini di ricerca in testo chiaro, esclusi quelli inseriti in modalità privata
-Coordinate di posizione: Se l'autorizzazione alla posizione è abilitata sull'app, una posizione precisa, entro 500 metri, è stato incluso nel set di dati.
Mentre le coordinate esposte non sono precise, danno ancora un perimetro relativamente piccolo di dove si trova l'utente. Copiandoli semplicemente su Google Maps, potrebbe essere possibile utilizzarli per risalire al proprietario del telefono.
-L'ora esatta in cui è stata eseguita la ricerca.
-Token di notifica Firebase
-Dati coupon come timestamp di quando un codice coupon è stato copiato o applicato automaticamente dall'app e su quale URL si trovava
-Un elenco parziale degli URL visitati dagli utenti dai risultati di ricerca
-Dispositivo (Telefono o tablet) modello
-Sistema operativo
-3 numeri ID univoci separati assegnati a ciascun utente trovato nei dati
I ricercatori hanno anche stimato che il server "cresceva fino a 200 GB al giorno", ipotizzando quindi che chiunque abbia effettuato una ricerca su Bing tramite l'app mobile mentre il server non era protetto sia a rischio. Persone da oltre 70 paesi sono colpiti.
Quel che è peggio è che il server esposto è stato attaccato dagli hacker di Meow:
Da quello che abbiamo visto, tra il 10 e il 12 settembre, il server è stato preso di mira da un attacco Meow che ha cancellato quasi l'intero database. Quando abbiamo scoperto il server il 12, 100 dall'attacco sono stati raccolti milioni di record. C'è stato un secondo attacco Meow al server a settembre 14.
Considerando il tipo di informazioni sensibili che sono state esposte, gli hacker possono tentare di ricattare le vittime. Altri scenari di attacco includono frodi di phishing e persino attacchi fisici e rapine.
I ricercatori hanno divulgato i loro risultati al Microsoft Security Response Center, e l'azienda ha affrontato il problema a settembre 16.
Troppi server non protetti là fuori
Nel mese di luglio, Ricercatori di SafetyDetestives ha scoperto un server associato ad Avon che non disponeva di misure di sicurezza di base, e potrebbe essere facilmente accessibile.
Grazie a questa debolezza di sicurezza, hanno svelato i ricercatori 19 milioni di record di individui associati ad Avon, che includeva informazioni personali dei dipendenti e dati del sito Web.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: