WizCase在线安全团队在记录Bing Mobile App数据的Microsoft拥有的服务器中发现大量数据泄漏。泄漏是通过不安全的ElasticSearch服务器发现的。
该研究小组由白帽黑客Ata Hackil领导,他认为不安全的服务器允许第三方获取严重敏感的数据,例如搜索查询。Bing移动应用程序可在Google和Apple商店中使用。它在Google Play商店中的下载量超过10,000,000,每天通过它进行的搜索量为数百万。WizCase的研究团队在搜索Internet上的开放数据库或服务器时找到了数据库,并找到了一个不受保护的ElasticSearch服务器,该服务器以明文格式,位置坐标和设备详细信息记录搜索查询字词。服务器还显示了执行搜索查询的确切时间,设备型号,Firebase通知令牌(可以允许开发人员将通知发送到特定设备),用户从搜索结果中选择访问的URL列表以及优惠券数据,包括复制代码时的信息。此外,部分泄漏的数据是唯一的ID号(例如ADID,Devicehash和DeviceID)以及操作系统数据。
研究人员发现,如果用户在Bing应用程序上启用了位置权限,则服务器会在500米的距离内公开精确的位置数据。研究人员声称,虽然暴露的坐标不精确,但是可以给出用户位置的可能参数。研究人员在博客中写道:“只需将它们复制到Google Maps上,就有可能使用它们来追溯到手机的所有者。”好消息是,Bing搜索引擎移动应用程序用户的个人数据(例如姓名)没有被泄露。此外,以私有模式输入查询的用户不受影响。但是,WizCase的研究人员认为,泄漏的任何数据都足以使不良行为者进行网络钓鱼诈骗,勒索攻击和其他种类的恶意活动。他们所需要做的就是将用户身份链接到位置数据和搜索查询。
服务器记录的一些可怕的搜索查询
此外,攻击者将根据搜索查询数据了解用户的日常活动以及他们是否有现金或昂贵的物品。这些信息将构成抢劫的危险。研究人员指出:“例如,如果要搜索在哪里购买昂贵的物品或存放指示,攻击者可能会准备偷窃该物品。”Bing的移动应用程序版本存储了一个高达6.5tb的服务器,研究人员认为该服务器在9月10日之前受到密码保护。9月12日,他们发现该服务器不受保护,第二天,他们就将该问题通知了Microsoft。到9月16日,服务器已经安全。WizCase研究人员Chase Williams表示,他们并未计算受该暴露影响的准确用户数,但他们推测该数字可能很高。“基于庞大的数据量,可以安全地推测在暴露服务器的情况下使用移动应用程序进行Bing搜索的任何人都处于危险之中。我们看到了来自70多个国家/地区的搜索记录。”威廉姆斯写道。他们还声称,服务器在9月10日,9月12日至9月14日之间遭到了喵叫攻击。“从我们看到的情况来看,在9月10日至12日之间,服务器受到Meow攻击的攻击,该攻击几乎删除了整个数据库。当我们在12日发现服务器时,自攻击以来已收集了1亿条记录。9月14日,服务器上发生了第二次Meow攻击。”