A Microsoft tem incentivado os usuários do Windows a usar o navegador Edge e o mecanismo de busca Bing.
Infelizmente, um novo relatório de segurança revela que um servidor back-end associado Bing expôs dados confidenciais pertencentes a usuários do aplicativo móvel.
Vazamento de dados do Bing Associated Server: O que foi exposto?
Os dados expostos incluem consultas de pesquisa, detalhes do dispositivo, Coordenadas GPS. A boa notícia é que nenhuma informação pessoal foi exposta, como nomes e endereços.
O vazamento de dados foi descoberto pelo pesquisador da WizCase Ata Hackil. O vazamento massivo de dados, consistindo em um cache de 6,5 TB de arquivos de log por meio de um servidor Elastic não seguro. Como visto em outros casos semelhantes, o servidor Elastic não estava protegido por senha quando o vazamento ocorreu. Contudo, vale ressaltar que o servidor possuía senha até setembro 10, que foi então removido.
“Tem havido mais de 10,000,000 downloads apenas no Google Play, e milhões de pesquisas realizadas diariamente por meio do aplicativo móvel,” o relatório mostra.
Aqui está o que o vazamento de dados expôs:
-Termos de pesquisa em texto simples, excluindo aqueles inseridos em modo privado
-Coordenadas de localização: Se a permissão de localização estiver habilitada no aplicativo, uma localização precisa, dentro 500 metros, foi incluído no conjunto de dados.
Embora as coordenadas expostas não sejam precisas, eles ainda fornecem um perímetro relativamente pequeno de onde o usuário está localizado. Simplesmente copiando-os no Google Maps, pode ser possível usá-los para rastrear o proprietário do telefone.
-A hora exata em que a pesquisa foi executada.
-Tokens de notificação do Firebase
-Dados de cupom, como carimbos de data / hora de quando um código de cupom foi copiado ou aplicado automaticamente pelo aplicativo e em qual URL ele estava
-Uma lista parcial dos URLs que os usuários visitaram a partir dos resultados da pesquisa
-Dispositivo (Telefone ou tablet) modelo
-Sistema operacional
-3 números de identificação exclusivos separados atribuídos a cada usuário encontrado nos dados
Os pesquisadores também estimaram que o servidor estava "crescendo em até 200 GB por dia", assim, especular que qualquer pessoa que tenha feito uma pesquisa no Bing por meio do aplicativo móvel enquanto o servidor estava desprotegido está em risco. Pessoas de mais 70 países são afetados.
O que é pior é que o servidor exposto foi atacado por hackers Meow:
Pelo que vimos, entre 10 e 12 de setembro, o servidor foi alvo de um ataque de miau que excluiu quase todo o banco de dados. Quando descobrimos o servidor no dia 12, 100 milhões de registros foram coletados desde o ataque. Houve um segundo ataque de miau no servidor em setembro 14.
Considerando o tipo de informação sensível que foi exposta, hackers podem tentar chantagear as vítimas. Outros cenários de ataque incluem golpes de phishing e até mesmo ataques físicos e roubo.
Os pesquisadores divulgaram suas descobertas ao Microsoft Security Response Center, e a empresa resolveu o problema em setembro 16.
Muitos servidores desprotegidos por aí
Em julho, Pesquisadores SafetyDetestives descobriu um servidor associado à Avon que não tinha quaisquer medidas básicas de segurança em vigor, e pode ser facilmente acessado.
Graças a esta fraqueza de segurança, os pesquisadores revelaram 19 milhões de registros de indivíduos associados à Avon, que incluía informações pessoais de funcionários e dados do site.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: