Microsoft heeft Windows-gebruikers naar zijn Edge Browser en Bing-zoekmachine geduwd.
Helaas, een nieuw beveiligingsrapport onthult dat een back-end-server is gekoppeld aan Bing heeft gevoelige gegevens van gebruikers van de mobiele applicatie openbaar gemaakt.
Bing Associated Server Data Leak: Wat werd blootgesteld?
Blootgestelde gegevens omvatten zoekopdrachten, apparaatdetails, GPS coördinaten. Het goede nieuws is dat er geen persoonlijke informatie is vrijgegeven, zoals namen en adressen.
Het datalek werd ontdekt door WizCase-onderzoeker Ata Hackil. Het enorme datalek, bestaande uit een 6.5TB cache van logbestanden gebeurde via een onbeveiligde Elastic-server. Zoals te zien in andere vergelijkbare gevallen, de Elastic-server was niet met een wachtwoord beveiligd toen het lek plaatsvond. Echter, het is opmerkelijk dat de server tot september een wachtwoord had 10, die vervolgens werd verwijderd.
"Er zijn er meer dan 10,000,000 alleen downloads op Google Play, en miljoenen zoekopdrachten die dagelijks worden uitgevoerd via de mobiele app," het rapport laat zien.
Dit is wat het datalek heeft blootgelegd:
-Zoektermen in duidelijke tekst, met uitzondering van degenen die in de privémodus zijn ingevoerd
-Locatie coördinaten: Als de locatietoestemming is ingeschakeld op de app, een precieze locatie, binnen 500 meter, was opgenomen in de dataset.
Hoewel de weergegeven coördinaten niet precies zijn, ze geven nog steeds een relatief kleine omtrek van waar de gebruiker zich bevindt. Door ze simpelweg op Google Maps te kopiëren, het kan mogelijk zijn om ze te gebruiken om terug te gaan naar de eigenaar van de telefoon.
-Het exacte tijdstip waarop de zoekopdracht is uitgevoerd.
-Firebase-meldingstokens
-Coupongegevens zoals tijdstempels van wanneer een couponcode is gekopieerd of automatisch is toegepast door de app en op welke URL deze is
-Een gedeeltelijke lijst van de URL's die de gebruikers hebben bezocht in de zoekresultaten
-Apparaat (Telefoon of tablet) model-
-Besturingssysteem
-3 afzonderlijke unieke ID-nummers toegewezen aan elke gebruiker die in de gegevens wordt aangetroffen
De onderzoekers schatten ook dat de server "met maar liefst 200 GB per dag groeide", dus speculerend dat iedereen die een Bing-zoekopdracht heeft uitgevoerd via de mobiele app terwijl de server onbeschermd was, gevaar loopt. Mensen van over 70 landen die zijn getroffen.
Wat erger is, is dat de blootgestelde server werd aangevallen door Meow-hackers:
Van wat we zagen, tussen 10 en 12 september, de server was het doelwit van een Meow-aanval die bijna de hele database verwijderde. Toen we de server ontdekten op de 12e, 100 miljoen records waren verzameld sinds de aanval. Er was in september een tweede Meow-aanval op de server 14.
Gezien het soort gevoelige informatie dat werd blootgesteld, hackers kunnen proberen slachtoffers te chanteren. Andere aanvalsscenario's zijn onder meer phishing-aanvallen en zelfs fysieke aanvallen en overvallen.
De onderzoekers maakten hun bevindingen bekend aan het Microsoft Security Response Center, en het bedrijf pakte het probleem in september aan 16.
Er zijn te veel onbeveiligde servers
In juli, SafetyDetestives onderzoekers ontdekte een met Avon geassocieerde server die geen basisbeveiligingsmaatregelen hadden, en gemakkelijk toegankelijk zijn.
Dankzij deze zwakte in de beveiliging, onthulden de onderzoekers 19 miljoen records van individuen geassocieerd met Avon, waaronder persoonlijke informatie van werknemers en websitegegevens.