网贷|微软Bing服务器暴露6.5 TB用户搜索记录数据
文章图片
文章图片
事件概述
WizCase 研究人员发现与Microsoft Bing 有关的服务器泄露了搜索引擎的移动应用用户的敏感数据 , 包括搜索记录、设备详情、GPS 坐标等 。 该数据泄露事件共泄露了6.5 TB的日志文件缓存 , 任何人无需密码就可以访问这些数据 。 幸运的是泄露的数据中不包含姓名、地址这样的个人信息 。
搜索结果日志包括所有与设备有关的信息
究人员测试发现 , 暴露的数据包括:
·搜索信息:明文的搜索记录 , 包括隐私(无痕)模式下的搜索记录;
·位置坐标:如果app 被授予了位置权限 , 数据集中就会有500米以内的精确位置 。 如果坐标不精确 , 仍然会有一个相对小范围的用户位置信息 。 复制相关信息到谷歌地图中 , 就可能用来追踪用户 。
·搜索的精确时间;
·Firebase notification token;
【网贷|微软Bing服务器暴露6.5 TB用户搜索记录数据】·Coupon data:比如时间戳等信息;
·用户从搜索结果列表中访问的URL列表(部分);
·设备型号;
·操作系统;
·分配给每个用户的3个唯一的Id:
·ADID:微软账户的唯一ID
·DeviceID
·DeviceHash
含有用户信息的日志信息
与暴露的服务器的coupon相关的日志示例
事件起因
WizCase称 , 泄露数据的Elastic 服务器再9月10日之前是有密码保护的 , 但之后突然意外移除了密码保护 。 研究人员将该问题提交该微软后 , 微软在9月16日解决了该错误配置问题 。
数据来源和受影响的用户
泄露数据的服务器上共有6.5 TB的数据 , 而且还在以每天200 GB的速度增长 。 从泄露的数据来看 , 其中有来自超过70个国家的用户的搜索记录 。
虽然泄露的数据库中没有泄露姓名、地址等个人隐私信息 , 但泄露的数据仍然可能会被攻击者利用来发起进一步的攻击:
·勒索或恐吓:比如有的人搜索了成人内容或通过搜索的内容暴露了极端的政治倾向 。 攻击者利用这些泄露的数据可以找出用户的真实身份 , 并利用搜索内容暴露的信息对用户进行勒索或恐吓 。
·钓鱼:如果黑客知道某个用户正在搜索哪些特定的内容 , 那么就可以根据用户搜索历史内容进行精准钓鱼活动 , 通过钓鱼垃圾邮件的方式来攻击用户 。
此外 , 服务器还遭受了至少2次 meow 攻击 , 这种自动化的网络攻击自7月起至少从数据库中擦除了14000 个不安全的数据库实例 。
推荐阅读
- 量子计算机|微软量子计算“天使梦”破碎,扬言的巨大胜利终究是一个“错误”
- 谷歌|27岁“一战成名”,超越谷歌、微软,他让中国比美国快100亿倍
- 微软推出Pluton安全芯片,获得英特尔、AMD及高通的支持
- 微软|微软预计Xbox Series X/S在明年4月前都会面临短缺
- 微软|Xbox主机安全技术未来将广泛运用于PC的CPU当中
- 微软|过节去!微软12月将停止Windows 10更新 明年1月份恢复
- 微软|微软:多家新冠疫苗制造商遭黑客攻击 大多数已被阻止
- 专家王强建议查网贷高层家属,不能继续让出借人损失惨重!
- 太平洋电脑网|Edge首次突破10%!微软这次能挑战Chrome吗
- 微软:XSS一点也没有拖累次世代 反而在推动它