配置不当的服务器记录了来自Bing移动应用程序的数据。
WizCase安全团队发现记录Bing移动应用程序数据的微软拥有的一台服务器泄露了大量数据。安全团队发现,数据是通过一台未做好安全工作的ElasticSearch服务器泄露出去的。
该研究团队由白帽黑客Ata Hackil领导,他认为这台未做好安全工作的服务器允许第三方获取重要的敏感数据,比如搜索查询。
Bing移动应用程序在谷歌和苹果的应用商店中均能找到。它在谷歌Play Store上的下载量超过了10000000人次,每天通过它执行的搜索多达数百万次。
WizCase的研究团队在互联网上搜索敞开的数据库或服务器时发现了该数据库,并找到了一台未加保护的ElasticSearch服务器,这台服务器负责记录明文格式的搜索查询词、位置坐标和设备详细信息。
该服务器还显示了执行搜索查询的确切时间、设备型号、Firebase通知令牌(让开发人员可以将通知发送到某个特定设备)、用户从搜索结果中选择访问的URL列表以及优惠券数据(包括复制代码时的信息)。
另外,泄露的数据中有一部分是独特的ID号(比如ADID、Devicehash和DeviceID)以及操作系统数据。
泄露数据的那台服务器记录的用户信息(图片来源:Wizcase)
此外研究人员发现,如果用户在Bing应用程序上启用了位置许可权限,该服务器泄露了距离500米内的精确的位置数据。研究人员声称,虽然泄露的坐标并不准确,但可以给出用户位置的大致参数。
研究人员在博客中写道:“只需将它们复制到谷歌地图上,就有可能使用它们追溯到手机的所有者。”
好消息是,Bing搜索引擎移动应用程序用户的个人数据(比如姓名)并没有泄露出去。此外,私密模式下输入查询的用户未受到影响。
然而,WizCase的研究人员认为,泄露的任何数据都足以使不法分子进行网络钓鱼诈骗、勒索攻击及其他种类的恶意活动。他们只需要将用户身份与位置数据和搜索查询关联起来。
服务器记录的一些可怕的搜索查询包括用户搜索虐待儿童的内容。(图片来源:Wizcase)
此外,攻击者可根据搜索查询数据,了解用户的日常活动以及他们是否拥有现金或贵重物品。这些信息会带来抢劫的风险。
研究人员特别指出:“比如说,要是有人搜索在哪里可以买到贵重物品或贵重物品贮藏方面的指示,攻击者可能会准备好窃取这类物品。”
Bing的移动应用程序版存储在一台容量多达6.5TB的服务器上,研究人员认为该服务器在9月10日之前受密码保护。9月12日,他们发现该服务器未受保护,次日他们将该问题告知了微软。到9月16日,该服务器已做好了安全工作。
WizCase的研究人员Chase Williams表示,他们并没有计算到底有多少用户受到此泄露事件的影响,不过推测可能为数众多。
Williams写道:“从数据的绝对数据量来看,大致可以推测,该服务器泄露期间使用该移动应用程序执行Bing搜索的任何人都面临危险。我们看到了来自70多个国家的执行搜索的人的记录。”
他们还声称,该服务器在9月10日、9月12日至9月14日期间遭到了Meow攻击。
“从我们看到的情况来看,9月10日至12日期间,该服务器受到了Meow攻击,这次攻击几乎删除了整个数据库。我们在12日发现该服务器时,自攻击以来收集的记录有1亿条。9月14日,该服务器受到了第二次Meow攻击。”
由于Elasticsearch服务器向来就有在网上泄露数据的名声,这次事件不足为奇。此外,配置不当的数据库在过去几年已泄露了数十亿条敏感记录。
微软辩称,泄露的数据数量很少。该公司发言人表示:“我们已解决了配置不当问题,该问题导致少量的搜索查询数据泄露。我们在分析后确定,泄露的数据很有限,且无法识别用户的身份。”