近日,网络安全网站Wizcase发现了一个不受保护的Elastic服务器,其中包含了与微软旗下Bing移动应用用户相关的TB级数据,包括iOS和iPadOS在内的每个平台上的Bing移动应用程序用户都面临风险。
据悉,正常情况下,该数据库应有密码保护。
然而,WizCase团队发现,该服务器于9月10日左右受到Meow攻击而丧失密码保护,身份验证被移除,其内容直接暴露给互联网上的所有人。
也就是说,它可能已经将Bing移动版应用的数据库泄露出去,这将导致1亿条搜索结果被截获。
白帽黑客Ata Hakcil发现了这一漏洞,并通过安装应用程序并对WizCase进行搜索,确认了Elasticsearch服务器属于微软的Bing移动应用。
“在那个暴露的服务器中,我发现了自己的个人资料,包括搜索查询、设备详细信息和GPS定位,这些数据均泄露于Bing的移动版应用。”他透露。
据了解,该服务器中拥有超过6.5TB的数据,而且每天增长200GB。
从搜索数据来看,涉及全球70多个国家和地区的用户都处于潜在危险之中。
除此之外,该服务器泄露的数据还包括明文搜索词、执行搜索的确切时间、位置坐标、用户从搜索结果中访问过的URL地址、设备型号、操作系统以及分配给每个用户的3个独立ID等。
“基于如此庞大的数据,我们可以有把握地推测,在服务器被曝光后,任何使用手机应用程序Bing进行搜索的人都处于风险之中。”Wizcase团队称。
目前,在谷歌和苹果的应用商店中,均能下载和使用Bing移动应用程序。
该APP仅在谷歌Play上就有超过1000万的下载量,每天记录的搜索次数达数百万次。
据悉,Wizcase于9月13日向微软报告了这个发现,微软已在9月16日给这个服务器加上了密码。
然而,在被曝光的时间范围内,数据库至少被Meow攻击了两次,攻击者几乎删除了整个数据库。
虽然泄露的数据库中没有泄露姓名等个人隐私信息,但泄露的数据仍然可能会被攻击者利用来发起进一步的攻击:
1、勒索或恐吓。如果有用户搜索了成人内容或其他敏感信息,攻击者可能会利用这些泄露的数据可以找出用户的真实身份,并利用搜索内容对其进行勒索或恐吓。
此前,国内就有不少网友发帖称,自己收到过一些勒索邮件,黑客声称掌握了自己在成人网站的浏览记录,并威胁要发送给周围认识的人。
2、钓鱼。如果黑客知道某个用户正在搜索哪些特定的内容,那么就可以根据用户搜索历史内容进行精准钓鱼活动,通过钓鱼垃圾邮件的方式来攻击用户。