本月初,微软IT 员工不慎将必应 (Bing) 的后台服务器之一暴露在网上。

该服务器是由 WizCase 公司的安全研究员 Ata Hakcil 发现的。他调查发现,该服务器暴露了超过6.5 TB 的日志文件,其中包含源自必应搜索引擎的130亿条记录。Hakcil 从该服务器的日志中找到了自己在必应安卓版 app 中搜索查询内容,验证了调查结果。

Hakcil 表示该服务器暴露在网上的时间是9月10日至9月16日。9月12日,他发现这一问题并告知微软安全响应中心,后者在9月13日发出警告信息并在9月16日通过设置密码的方式加固了该服务器。

微软证实了这一错误。

个人信息未遭暴露

媒体 ZDNet 在该服务器未受密码保护期间得到权限访问该服务器后发现,用户的个人信息并未遭暴露。

虽然个人数据并未遭暴露,但研究人员认为已泄露数据足以将搜索查询和地址信息与用户的个人身份关联在一起,使得恶意人员可执行勒索攻击、钓鱼攻击等。

除了用户的搜索内容被以明文形式暴露外,该服务器还暴露了搜索的执行时间。FirebaseNotification Tokens(使开发人员向具体设备发送通知)、设备型号、从搜索结果访问的部分URL 清单、包含优惠券代码复制的信息的优惠券数据、操作系统数据和唯一ID号码(包括 ADID,他似乎是微软账户、deviceID 和 devicehash 的一个唯一ID)等。

另外,研究人员发现精确的位置信息(500米以内)遭暴露,不过前提是用户在 app 上启用了位置权限。研究人员拜师,“虽然被暴露的坐标数据并不精确,但它仍然给出了关于用户位置的相对较小的半径信息,只要将它们复制到 Google Maps 上,就可能追踪到手机机主。”

事件影响

虽然并未计算受影响的具体用户数量,但研究人员注意到单在谷歌应用商店,必应 app 的下载量就超过1000万次,而每天处理的移动搜索请求为数百万次。研究人员指出,“单从数据量来看,可以猜测在服务器被暴露期间通过移动 app 访问必应搜索的用户都面临风险。我们从搜索的人员记录发现他们来自70多个国家。”但微软的一名发言人却表示,“我们修复了一个导致少量搜索查询数据遭暴露的配置错误问题。分析后我们认为被暴露的数据是有限的而且不可被识别。”

研究人员指出,犯罪分子不仅能够知道用户的日常行踪,而且还能够可从搜索查询中了解用户是否携带现金或贵重物品。例如,如果有人搜索从哪里购买贵重品或商店位置,则攻击者有可能会盗取这些贵重品。

另外,研究人员指出,在9月10日至9月12日期间以及在9月14日,该服务器遭两次“Meow 攻击”。Meow 攻击指的是始于今年7月初并导致1000个不安全数据库永久被删除的正在进行的攻击活动。Meow 黑客最近还攻击了一台配置错误并遭暴露的一个 Mailfire 服务器。

数据泄露事件源头

被暴露的服务器是一个 Elasticsearch 系统。Elasticsearch 服务器是高级别系统,企业收集大量数据,以便轻松搜索并过滤数十亿条记录。在过去的四年时间里,Elasticsearch 服务器常常是很多数据泄露偶发事件的源头。

数据遭泄露的原因各异,如管理员忘记设置密码;防火墙或 VPN 系统突然宕机并暴露公司的内部服务器;或者企业将生产数据复制到测试系统中,而测试系统并不一定总像重要的基础设施那样安全。

原文链接

https://www.zdnet.com/article/microsoft-secures-backend-server-that-leaked-bing-data/

https://threatpost.com/microsoft-bing-search-queries/159407

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。