信息化觀察網(wǎng)

WizCase在線安全團(tuán)隊(duì)在記錄Bing Mobile App數(shù)據(jù)的Microsoft擁有的服務(wù)器中發(fā)現(xiàn)大量數(shù)據(jù)泄漏。泄漏是通過(guò)不安全的ElasticSearch服務(wù)器發(fā)現(xiàn)的。

該研究小組由白帽黑客Ata Hackil領(lǐng)導(dǎo)，他認(rèn)為不安全的服務(wù)器允許第三方獲取嚴(yán)重敏感的數(shù)據(jù)，例如搜索查詢。

Bing移動(dòng)應(yīng)用程序可在Google和Apple商店中使用。它在Google Play商店中的下載量超過(guò)10,000,000，每天通過(guò)它進(jìn)行的搜索量為數(shù)百萬(wàn)。

WizCase的研究團(tuán)隊(duì)在搜索Internet上的開(kāi)放數(shù)據(jù)庫(kù)或服務(wù)器時(shí)找到了數(shù)據(jù)庫(kù)，并找到了一個(gè)不受保護(hù)的ElasticSearch服務(wù)器，該服務(wù)器以明文格式，位置坐標(biāo)和設(shè)備詳細(xì)信息記錄搜索查詢字詞。

服務(wù)器還顯示了執(zhí)行搜索查詢的確切時(shí)間，設(shè)備型號(hào)，F(xiàn)irebase通知令牌（可以允許開(kāi)發(fā)人員將通知發(fā)送到特定設(shè)備），用戶從搜索結(jié)果中選擇訪問(wèn)的URL列表以及優(yōu)惠券數(shù)據(jù)，包括復(fù)制代碼時(shí)的信息。

此外，部分泄漏的數(shù)據(jù)是唯一的ID號(hào)（例如ADID，Devicehash和DeviceID）以及操作系統(tǒng)數(shù)據(jù)。

研究人員發(fā)現(xiàn)，如果用戶在Bing應(yīng)用程序上啟用了位置權(quán)限，則服務(wù)器會(huì)在500米的距離內(nèi)公開(kāi)精確的位置數(shù)據(jù)。研究人員聲稱，雖然暴露的坐標(biāo)不精確，但是可以給出用戶位置的可能參數(shù)。

研究人員在博客中寫(xiě)道：“只需將它們復(fù)制到Google Maps上，就有可能使用它們來(lái)追溯到手機(jī)的所有者。”

好消息是，Bing搜索引擎移動(dòng)應(yīng)用程序用戶的個(gè)人數(shù)據(jù)（例如姓名）沒(méi)有被泄露。此外，以私有模式輸入查詢的用戶不受影響。

但是，WizCase的研究人員認(rèn)為，泄漏的任何數(shù)據(jù)都足以使不良行為者進(jìn)行網(wǎng)絡(luò)釣魚(yú)詐騙，勒索攻擊和其他種類的惡意活動(dòng)。他們所需要做的就是將用戶身份鏈接到位置數(shù)據(jù)和搜索查詢。

服務(wù)器記錄的一些可怕的搜索查詢

此外，攻擊者將根據(jù)搜索查詢數(shù)據(jù)了解用戶的日?；顒?dòng)以及他們是否有現(xiàn)金或昂貴的物品。這些信息將構(gòu)成搶劫的危險(xiǎn)。

研究人員指出：“例如，如果要搜索在哪里購(gòu)買(mǎi)昂貴的物品或存放指示，攻擊者可能會(huì)準(zhǔn)備偷竊該物品。”

Bing的移動(dòng)應(yīng)用程序版本存儲(chǔ)了一個(gè)高達(dá)6.5tb的服務(wù)器，研究人員認(rèn)為該服務(wù)器在9月10日之前受到密碼保護(hù)。9月12日，他們發(fā)現(xiàn)該服務(wù)器不受保護(hù)，第二天，他們就將該問(wèn)題通知了Microsoft。到9月16日，服務(wù)器已經(jīng)安全。

WizCase研究人員Chase Williams表示，他們并未計(jì)算受該暴露影響的準(zhǔn)確用戶數(shù)，但他們推測(cè)該數(shù)字可能很高。

“基于龐大的數(shù)據(jù)量，可以安全地推測(cè)在暴露服務(wù)器的情況下使用移動(dòng)應(yīng)用程序進(jìn)行Bing搜索的任何人都處于危險(xiǎn)之中。我們看到了來(lái)自70多個(gè)國(guó)家/地區(qū)的搜索記錄。”威廉姆斯寫(xiě)道。

他們還聲稱，服務(wù)器在9月10日，9月12日至9月14日之間遭到了喵叫攻擊。

“從我們看到的情況來(lái)看，在9月10日至12日之間，服務(wù)器受到Meow攻擊的攻擊，該攻擊幾乎刪除了整個(gè)數(shù)據(jù)庫(kù)。當(dāng)我們?cè)?2日發(fā)現(xiàn)服務(wù)器時(shí)，自攻擊以來(lái)已收集了1億條記錄。9月14日，服務(wù)器上發(fā)生了第二次Meow攻擊。”