微软必应服务器配置错泄露用户搜索和位置数据

2020-09-24 11:22   来源: 互联网    阅读次数:6325

WizCase在线安全小组在微软拥有的记录宾格移动应用程序数据的服务器中发现了大量数据泄漏。泄漏是通过不安全的ElasticSearch服务器检测到的。

这个由白帽黑客AtaHackil领导的团队认为,不安全的服务器允许第三方访问非常敏感的数据,比如搜索查询。

必应移动应用程序可以在谷歌(Google)和苹果(Apple)商店中使用。它在GooglePlay商店有超过1万次的下载,每天都有数百万次的搜索。

WizCase的团队在Internet上搜索打开的数据库或服务器时找到了数据库,并找到了一个无保护的ElasticSearch服务器,该服务器以明文格式、位置坐标和设备详细信息记录查询单词。

服务器还显示执行搜索查询的确切时间、设备模型、Firebase通知令牌(允许开发人员向特定设备发送通知)、用户从搜索结果中选择访问的URL列表以及优惠券数据,包括复制代码时的信息。

此外,一些泄漏的数据是唯一的ID号(如ADD、Device散列和deviceID)和操作系统数据。

研究人员发现,如果用户启用Bing应用程序的位置权限,服务器就会在500米范围内公开准确的位置数据。研究人员声称,虽然公开的坐标不准确,但它们可以给出用户位置的可能参数。






研究人员在他们的博客上写道:"通过将它们复制到GoogleMaps上,就有可能将它们追溯到手机的所有者。

好消息是,必应搜索引擎提供的移动应用程序用户的个人数据(如姓名)没有被泄露。此外,以私人模式输入查询的用户不受影响。

然而,WizCase的研究人员认为,任何泄露的数据都足以让坏的行为者参与钓鱼欺诈、敲诈攻击和其他类型的恶意活动。他们所需要做的就是将用户的身份与位置数据和搜索查询联系起来。

服务器记录的一些糟糕的搜索查询

此外,攻击者将根据搜索查询数据了解用户的日常活动以及他们是否有现金或贵重物品。这些信息将构成抢劫的风险。

例如,如果你想在哪里购买昂贵的物品或存储说明,攻击者可能会准备好偷它,"研究人员说。

Bing的移动应用程序版本存储了高达6.5tb的服务器,研究人员认为服务器将在9月10日前得到密码保护。9月12日,他们发现服务器没有受到保护,第二天他们将问题通知了微软。到9月16日,服务器已经安全。

WizCase的研究员ChaseWilliams说,他们没有计算受辐射影响的用户的确切人数,但他们推测这个数字可能会很高。

基于大量的数据,可以安全地假设,在暴露的服务器存在的情况下,使用移动应用程序进行Bing搜索的任何人都面临风险。我们看到了来自70多个国家的搜索记录。威廉姆斯写道。

他们还声称,服务器在9月10日、9月12日至9月14日期间遭到一只猫的攻击。

据我们所见,在9月10日至12日期间,服务器遭到了Meow攻击,几乎删除了整个数据库。当我们在十二号发现服务器的时候,我们已经收集了一亿条自攻击以来的记录。9月14日,第二次喵的攻击发生在服务器上。



责任编辑:iiihyt
分享到:
0
【慎重声明】凡本站未注明来源为"中国商讯网"的所有作品,均转载、编译或摘编自其它媒体,转载、编译或摘编的目的在于传递更多信息,并不代表本站赞同其观点和对其真实性负责。如因作品内容、版权和其他问题需要同本网联系的,请在30日内进行!