Bing搜索数据库泄露,多大1亿条搜索记录和位置信息被截取!
2022-01-11 19:58:05

配置不当的服务器记录了来自Bing移动应用程序的数据。

WizCase安全团队发现记录Bing移动应用程序数据的微软拥有的一台服务器泄露了大量数据。安全团队发现,数据是通过一台未做好安全工作的ElasticSearch服务器泄露出去的。

该研究团队由白帽黑客Ata Hackil领导,他认为这台未做好安全工作的服务器允许第三方获取重要的敏感数据,比如搜索查询。

Bing移动应用程序在谷歌和苹果的应用商店中均能找到。它在谷歌Play Store上的下载量超过了10000000人次,每天通过它执行的搜索多达数百万次。

WizCase的研究团队在互联网上搜索敞开的或服务器时发现了该数据库,并找到了一台未加保护的ElasticSearch服务器,这台服务器负责记录明文格式的搜索查询词、位置坐标和设备详细信息。

该服务器还显示了执行搜索查询的确切时间、设备型号、Firebase通知令牌(让开发人员可以将通知发送到某个特定设备)、用户从搜索结果中选择访问的URL列表以及优惠券数据(包括复制代码时的信息)。

另外,泄露的数据中有一部分是独特的ID号(比如ADID、Devicehash和DeviceID)以及操作系统数据。

泄露数据的那台服务器记录的用户信息(图片来源:Wizcase)

此外研究人员发现,如果用户在Bing应用程序上启用了位置许可权限,该服务器泄露了距离500米内的精确的位置数据。研究人员声称,虽然泄露的坐标并不准确,但可以给出用户位置的大致参数。

研究人员在博客中写道:“只需将它们复制到谷歌地图上,就有可能使用它们追溯到手机的所有者。”

好消息是,Bing搜索引擎移动应用程序用户的个人数据(比如姓名)并没有泄露出去。此外,私密模式下输入查询的用户未受到影响。

然而,WizCase的研究人员认为,泄露的任何数据都足以使不法分子进行网络钓鱼诈骗、勒索攻击及其他种类的恶意活动。他们只需要将用户身份与位置数据和搜索查询关联起来。

服务器记录的一些可怕的搜索查询包括用户搜索虐待儿童的内容。(图片来源:Wizcase)

此外,攻击者可根据搜索查询数据,了解用户的日常活动以及他们是否拥有现金或贵重物品。这些信息会带来抢劫的风险。

研究人员特别指出:“比如说,要是有人搜索在哪里可以买到贵重物品或贵重物品贮藏方面的指示,攻击者可能会准备好窃取这类物品。”

Bing的移动应用程序版存储在一台容量多达6.5TB的服务器上,研究人员认为该服务器在9月10日之前受密码保护。9月12日,他们发现该服务器未受保护,次日他们将该问题告知了微软。到9月16日,该服务器已做好了安全工作。

WizCase的研究人员Chase Williams表示,他们并没有计算到底有多少用户受到此泄露事件的影响,不过推测可能为数众多。

Williams写道:“从数据的绝对数据量来看,大致可以推测,该服务器泄露期间使用该移动应用程序执行Bing搜索的任何人都面临危险。我们看到了来自70多个国家的执行搜索的人的记录。”

他们还声称,该服务器在9月10日、9月12日至9月14日期间遭到了Meow攻击。

“从我们看到的情况来看,9月10日至12日期间,该服务器受到了Meow攻击,这次攻击几乎删除了整个数据库。我们在12日发现该服务器时,自攻击以来收集的记录有1亿条。9月14日,该服务器受到了第二次Meow攻击。”

由于Elasticsearch服务器向来就有在网上泄露数据的名声,这次事件不足为奇。此外,配置不当的数据库在过去几年已泄露了数十亿条敏感记录。

微软辩称,泄露的数据数量很少。该公司发言人表示:“我们已解决了配置不当问题,该问题导致少量的搜索查询数据泄露。我们在分析后确定,泄露的数据很有限,且无法识别用户的身份。”

配置不当的服务器记录了来自Bing移动应用程序的数据。

WizCase安全团队发现记录Bing移动应用程序数据的微软拥有的一台服务器泄露了大量数据。安全团队发现,数据是通过一台未做好安全工作的ElasticSearch服务器泄露出去的。

该研究团队由白帽黑客Ata Hackil领导,他认为这台未做好安全工作的服务器允许第三方获取重要的敏感数据,比如搜索查询。

Bing移动应用程序在谷歌和苹果的应用商店中均能找到。它在谷歌Play Store上的下载量超过了10000000人次,每天通过它执行的搜索多达数百万次。

WizCase的研究团队在互联网上搜索敞开的或服务器时发现了该数据库,并找到了一台未加保护的ElasticSearch服务器,这台服务器负责记录明文格式的搜索查询词、位置坐标和设备详细信息。

该服务器还显示了执行搜索查询的确切时间、设备型号、Firebase通知令牌(让开发人员可以将通知发送到某个特定设备)、用户从搜索结果中选择访问的URL列表以及优惠券数据(包括复制代码时的信息)。

另外,泄露的数据中有一部分是独特的ID号(比如ADID、Devicehash和DeviceID)以及操作系统数据。

泄露数据的那台服务器记录的用户信息(图片来源:Wizcase)

此外研究人员发现,如果用户在Bing应用程序上启用了位置许可权限,该服务器泄露了距离500米内的精确的位置数据。研究人员声称,虽然泄露的坐标并不准确,但可以给出用户位置的大致参数。

研究人员在博客中写道:“只需将它们复制到谷歌地图上,就有可能使用它们追溯到手机的所有者。”

好消息是,Bing搜索引擎移动应用程序用户的个人数据(比如姓名)并没有泄露出去。此外,私密模式下输入查询的用户未受到影响。

然而,WizCase的研究人员认为,泄露的任何数据都足以使不法分子进行网络钓鱼诈骗、勒索攻击及其他种类的恶意活动。他们只需要将用户身份与位置数据和搜索查询关联起来。

服务器记录的一些可怕的搜索查询包括用户搜索虐待儿童的内容。(图片来源:Wizcase)

此外,攻击者可根据搜索查询数据,了解用户的日常活动以及他们是否拥有现金或贵重物品。这些信息会带来抢劫的风险。

研究人员特别指出:“比如说,要是有人搜索在哪里可以买到贵重物品或贵重物品贮藏方面的指示,攻击者可能会准备好窃取这类物品。”

Bing的移动应用程序版存储在一台容量多达6.5TB的服务器上,研究人员认为该服务器在9月10日之前受密码保护。9月12日,他们发现该服务器未受保护,次日他们将该问题告知了微软。到9月16日,该服务器已做好了安全工作。

WizCase的研究人员Chase Williams表示,他们并没有计算到底有多少用户受到此泄露事件的影响,不过推测可能为数众多。

Williams写道:“从数据的绝对数据量来看,大致可以推测,该服务器泄露期间使用该移动应用程序执行Bing搜索的任何人都面临危险。我们看到了来自70多个国家的执行搜索的人的记录。”

他们还声称,该服务器在9月10日、9月12日至9月14日期间遭到了Meow攻击。

“从我们看到的情况来看,9月10日至12日期间,该服务器受到了Meow攻击,这次攻击几乎删除了整个数据库。我们在12日发现该服务器时,自攻击以来收集的记录有1亿条。9月14日,该服务器受到了第二次Meow攻击。”

由于Elasticsearch服务器向来就有在网上泄露数据的名声,这次事件不足为奇。此外,配置不当的数据库在过去几年已泄露了数十亿条敏感记录。

微软辩称,泄露的数据数量很少。该公司发言人表示:“我们已解决了配置不当问题,该问题导致少量的搜索查询数据泄露。我们在分析后确定,泄露的数据很有限,且无法识别用户的身份。”

未解决
您可能还需要
天天领红包,单单有红包
BrandZ最具价值中国品牌百强发布,生态品牌打造可持续增长新引擎
BOSS直聘人岗匹配系统最新研究成果入选CIKM2020
健康问卷的提醒如何设置?
7代u装win7教程(7代cpu装win7完美解决方案)
我是管理员,家校通讯录人数不对
视频会议中可以接到别人打来的电话吗?
手机上在其他app的文件怎么打印(软件)
为什么无法选择企业账户?(智能财务)
5g网络有什么功能,5g网络覆盖地区介绍
2021年余额宝上限额度是多少(浅谈余额宝最高限额)
TVB老戏骨廖启智因胃癌去世,享年66岁,发病才4个月!
TST庭秘密实控人张庭的抖音账号被暂封,微博被禁言
TRUEPARTNER迎来戴维斯双击,资产规模&业绩双增长
TOPFEEL极夜T72M迷你主机评测:全金属小身材大内涵
TIM新版支持微信扫码登录:自动生成新QQ
SwitchPro再不出来,玩家们就要玩腾讯产的游戏掌机了
SpaceX接受狗狗币支付(明年向月球发射狗狗一号卫星)
ShopExpress:微盟国际化的“加速器”
SaaS服务商得有店:为什么要把小程序生成软件系统全面免费
SEO误人误己的臆想:拒绝黑帽提倡白帽
SEO误人误己的臆想:原创文章究竟是什么
SEO行业怎么了
SEO网站优化合同范文(标准网站排名合作合同)
SEO真死了10年SEO站长却不以为然
SEO整站优化值得注意的4个细节
SEO收录异常诊断:负载均衡架构导致的SEO问题及解决方案!
SEO技术中需要IT的有哪些
SEO实战,新站上线,网站内容为空好吗
SEO基础篇:99%的SEOER不知道的基础内容
SEO培训报名8月份即将结束(附:8月新案例)
正在加载...