事件概述
WizCase 研究人员发现与Microsoft Bing 有关的服务器泄露了搜索引擎的移动应用用户的敏感数据,包括搜索记录、设备详情、GPS 坐标等。该数据泄露事件共泄露了6.5 TB的日志文件缓存,任何人无需密码就可以访问这些数据。幸运的是泄露的数据中不包含姓名、地址这样的个人信息。
搜索结果日志包括所有与设备有关的信息
研究人员测试发现,暴露的数据包括:
· 搜索信息:明文的搜索记录,包括隐私(无痕)模式下的搜索记录;
· 位置坐标:如果app 被授予了位置权限,数据集中就会有500米以内的精确位置。如果坐标不精确,仍然会有一个相对小范围的用户位置信息。复制相关信息到谷歌地图中,就可能用来追踪用户。
· 搜索的精确时间;
· Firebase notification token;
· Coupon data:比如时间戳等信息;
· 用户从搜索结果列表中访问的URL列表(部分);
· 设备型号;
· 操作系统;
· 分配给每个用户的3个唯一的Id:
· ADID:微软账户的唯一ID
· DeviceID
· DeviceHash
含有用户信息的日志信息
与暴露的服务器的coupon相关的日志示例
事件起因
WizCase称,泄露数据的Elastic 服务器再9月10日之前是有密码保护的,但之后突然意外移除了密码保护。研究人员将该问题提交该微软后,微软在9月16日解决了该错误配置问题。
数据来源和受影响的用户
泄露数据的服务器上共有6.5 TB的数据,而且还在以每天200 GB的速度增长。从泄露的数据来看,其中有来自超过70个国家的用户的搜索记录。
虽然泄露的数据库中没有泄露姓名、地址等个人隐私信息,但泄露的数据仍然可能会被攻击者利用来发起进一步的攻击:
· 勒索或恐吓:比如有的人搜索了成人内容或通过搜索的内容暴露了极端的政治倾向。攻击者利用这些泄露的数据可以找出用户的真实身份,并利用搜索内容暴露的信息对用户进行勒索或恐吓。
· 钓鱼:如果黑客知道某个用户正在搜索哪些特定的内容,那么就可以根据用户搜索历史内容进行精准钓鱼活动,通过钓鱼垃圾邮件的方式来攻击用户。
此外,服务器还遭受了至少2次 meow 攻击,这种自动化的网络攻击自7月起至少从数据库中擦除了14000 个不安全的数据库实例。
本文翻译自:https://www.wizcase.com/blog/bing-leak-research/如若转载,请注明原文地址