微軟 Bing 泄露多達(dá) 6.5TB 用戶數(shù)據(jù):包含搜索記錄和位置數(shù)據(jù)
點擊上方“JAVA”,星標(biāo)公眾號
導(dǎo)讀:據(jù)外媒報道,包括iOS和iPadOS在內(nèi)的所有平臺上的Bing移動應(yīng)用用戶都面臨著風(fēng)險,因為來自開放服務(wù)器的TB級用戶信息被竊取。Bing是微軟旗下的搜索引擎,iOS和Android版手機(jī)應(yīng)用的相關(guān)數(shù)據(jù)已經(jīng)在一個開放的服務(wù)器中被發(fā)現(xiàn)。據(jù)悉,該服務(wù)器擁有超6.5TB的數(shù)據(jù)并且在被發(fā)現(xiàn)后每天還在增長200GB的數(shù)據(jù)。
WizCase安全團(tuán)隊發(fā)現(xiàn)記錄Bing移動應(yīng)用程序數(shù)據(jù)的微軟擁有的一臺服務(wù)器泄露了大量數(shù)據(jù)。安全團(tuán)隊發(fā)現(xiàn),數(shù)據(jù)是通過一臺未做好安全工作的ElasticSearch服務(wù)器泄露出去的。
該研究團(tuán)隊由白帽黑客Ata Hackil領(lǐng)導(dǎo),他認(rèn)為這臺未做好安全工作的服務(wù)器允許第三方獲取重要的敏感數(shù)據(jù),比如搜索查詢。
Bing移動應(yīng)用程序在谷歌和蘋果的應(yīng)用商店中均能找到。它在谷歌Play Store上的下載量超過了10000000人次,每天通過它執(zhí)行的搜索多達(dá)數(shù)百萬次。
WizCase的研究團(tuán)隊在互聯(lián)網(wǎng)上搜索敞開的數(shù)據(jù)庫或服務(wù)器時發(fā)現(xiàn)了該數(shù)據(jù)庫,并找到了一臺未加保護(hù)的ElasticSearch服務(wù)器,這臺服務(wù)器負(fù)責(zé)記錄明文格式的搜索查詢詞、位置坐標(biāo)和設(shè)備詳細(xì)信息。
該服務(wù)器還顯示了執(zhí)行搜索查詢的確切時間、設(shè)備型號、Firebase通知令牌(讓開發(fā)人員可以將通知發(fā)送到某個特定設(shè)備)、用戶從搜索結(jié)果中選擇訪問的URL列表以及優(yōu)惠券數(shù)據(jù)(包括復(fù)制代碼時的信息)。
另外,泄露的數(shù)據(jù)中有一部分是獨(dú)特的ID號(比如ADID、Devicehash和DeviceID)以及操作系統(tǒng)數(shù)據(jù)。
泄露數(shù)據(jù)的那臺服務(wù)器記錄的用戶信息(圖片來源:Wizcase)
此外研究人員發(fā)現(xiàn),如果用戶在Bing應(yīng)用程序上啟用了位置許可權(quán)限,該服務(wù)器泄露了距離500米內(nèi)的精確的位置數(shù)據(jù)。研究人員聲稱,雖然泄露的坐標(biāo)并不準(zhǔn)確,但可以給出用戶位置的大致參數(shù)。
研究人員在博客中寫道:“只需將它們復(fù)制到谷歌地圖上,就有可能使用它們追溯到手機(jī)的所有者。”
好消息是,Bing搜索引擎移動應(yīng)用程序用戶的個人數(shù)據(jù)(比如姓名)并沒有泄露出去。此外,私密模式下輸入查詢的用戶未受到影響。
然而,WizCase的研究人員認(rèn)為,泄露的任何數(shù)據(jù)都足以使不法分子進(jìn)行網(wǎng)絡(luò)釣魚詐騙、勒索攻擊及其他種類的惡意活動。他們只需要將用戶身份與位置數(shù)據(jù)和搜索查詢關(guān)聯(lián)起來。
服務(wù)器記錄的一些可怕的搜索查詢包括用戶搜索虐待兒童的內(nèi)容。(圖片來源:Wizcase)
此外,攻擊者可根據(jù)搜索查詢數(shù)據(jù),了解用戶的日常活動以及他們是否擁有現(xiàn)金或貴重物品。這些信息會帶來搶劫的風(fēng)險。
研究人員特別指出:“比如說,要是有人搜索在哪里可以買到貴重物品或貴重物品貯藏方面的指示,攻擊者可能會準(zhǔn)備好竊取這類物品。”
Bing的移動應(yīng)用程序版存儲在一臺容量多達(dá)6.5TB的服務(wù)器上,研究人員認(rèn)為該服務(wù)器在9月10日之前受密碼保護(hù)。9月12日,他們發(fā)現(xiàn)該服務(wù)器未受保護(hù),次日他們將該問題告知了微軟。到9月16日,該服務(wù)器已做好了安全工作。
WizCase的研究人員Chase Williams表示,他們并沒有計算到底有多少用戶受到此泄露事件的影響,不過推測可能為數(shù)眾多。
Williams寫道:“從數(shù)據(jù)的絕對數(shù)據(jù)量來看,大致可以推測,該服務(wù)器泄露期間使用該移動應(yīng)用程序執(zhí)行Bing搜索的任何人都面臨危險。我們看到了來自70多個國家的執(zhí)行搜索的人的記錄。”
他們還聲稱,該服務(wù)器在9月10日、9月12日至9月14日期間遭到了Meow攻擊。
“從我們看到的情況來看,9月10日至12日期間,該服務(wù)器受到了Meow攻擊,這次攻擊幾乎刪除了整個數(shù)據(jù)庫。我們在12日發(fā)現(xiàn)該服務(wù)器時,自攻擊以來收集的記錄有1億條。9月14日,該服務(wù)器受到了第二次Meow攻擊。”
由于Elasticsearch服務(wù)器向來就有在網(wǎng)上泄露數(shù)據(jù)的名聲,這次事件不足為奇。此外,配置不當(dāng)?shù)臄?shù)據(jù)庫在過去幾年已泄露了數(shù)十億條敏感記錄。
微軟辯稱,泄露的數(shù)據(jù)數(shù)量很少。該公司發(fā)言人表示:“我們已解決了配置不當(dāng)問題,該問題導(dǎo)致少量的搜索查詢數(shù)據(jù)泄露。我們在分析后確定,泄露的數(shù)據(jù)很有限,且無法識別用戶的身份。”
最后分享一套2020年P(guān)ython面試題及詳細(xì)答案解析
已整理成冊,希望能幫助更多的讀者獲取大廠職位 完整面試題及答案地址獲取
關(guān)注我的另一個公眾號,回復(fù):500 (一定要回復(fù):500)否則啥也等不到
掃描上方二維碼關(guān)注并回復(fù):500 就有資源鏈接啦!
回復(fù):好書?還能獲取《Python3.X項目實踐》送書活動抽獎碼
