Microsoftは、WindowsユーザーをEdgeBrowserとBing検索エンジンに向けて推進してきました。.
不運にも, 新しいセキュリティレポートは、バックエンドサーバーがに関連付けられていることを明らかにします Bing モバイルアプリケーションのユーザーに属する機密データを公開しました.
Bing関連サーバーのデータ漏洩: 何が暴露されたか?
公開されたデータには検索クエリが含まれます, デバイスの詳細, GPS座標. 幸いなことに、個人情報は公開されていません。, 名前や住所など.
データ漏えいはWizCaseの研究者AtaHackilによって発見されました. 大規模なデータ漏洩, 保護されていないElasticサーバーを介して発生したログファイルの6.5TBキャッシュで構成されています. 他の同様のケースで見られるように, リークが発生したとき、Elasticサーバーはパスワードで保護されていませんでした. でも, サーバーが9月までパスワードを持っていたことは注目に値します 10, その後削除されました.
「「以上がありました 10,000,000 GooglePlayだけでダウンロード, モバイルアプリを介して毎日実行される何百万もの検索,」 レポートは示しています.
これがデータ漏洩が明らかにしたものです:
-クリアテキストで用語を検索, プライベートモードで入力されたものを除く
-場所の座標: アプリでロケーション権限が有効になっている場合, 正確な場所, 内部 500 メートル, データセットに含まれていました.
公開されている座標は正確ではありませんが, それでも、ユーザーがいる場所の周囲は比較的小さくなります. Googleマップにコピーするだけです, それらを使用して、電話の所有者までさかのぼることができる可能性があります.
-検索が実行された正確な時刻.
-Firebase通知トークン
-クーポンコードがアプリによってコピーまたは自動適用されたときのタイムスタンプや、それがどのURLにあったかなどのクーポンデータ
-ユーザーが検索結果からアクセスしたURLの部分的なリスト
-デバイス (電話またはタブレット) モデル
-オペレーティング·システム
-3 データ内で見つかった各ユーザーに割り当てられた個別の一意のID番号
研究者たちはまた、サーバーが「1日あたり200GBも成長している」と推定しました, したがって、サーバーが保護されていないときにモバイルアプリを介してBing検索を行った人は誰でも危険にさらされていると推測されます. 上からの人々 70 影響を受ける国.
さらに悪いことに、公開されたサーバーがMeowハッカーによって攻撃された:
私たちが見たものから, 9月10日から12日まで, サーバーは、データベースのほぼ全体を削除するMeow攻撃の標的になりました. 12日にサーバーを発見したとき, 100 攻撃以来、100万件の記録が収集されました. 9月にサーバーに対して2回目のMeow攻撃がありました 14.
公開された機密情報の種類を考慮する, ハッカーは被害者を脅迫しようとする可能性があります. その他の攻撃シナリオには、フィッシング詐欺、さらには物理的な攻撃や強盗が含まれます.
研究者は、調査結果をMicrosoft SecurityResponseCenterに開示しました, そして会社は9月に問題に取り組みました 16.
保護されていないサーバーが多すぎます
7月に, SafetyDetestivesの研究者 エイボン関連サーバーを発見 基本的なセキュリティ対策が整っていませんでした, 簡単にアクセスできます.
このセキュリティの弱点のおかげで, 研究者は発表しました 19 エイボンに関連する個人の百万件の記録, 従業員の個人情報とウェブサイトのデータが含まれています.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: