База данных мобильного приложения Bing открыта для хакеров, миллионы наборов пользовательских данных скомпрометированы

article thumbnail

Пользователи мобильных приложений Bing на всех платформах, включая iOS и iPadOS, подвергаются риску после кражи терабайтов пользовательской информации с открытого сервера.

Bing – это поисковая система, принадлежащая Microsoft, и данные, относящиеся к мобильному приложению для iOS и Android, были обнаружены на открытом сервере. На сервере было более 6,5 ТБ данных, и после обнаружения он увеличивался на 200 ГБ в день.

Группа белых хакеров WizCase обнаружила открытый сервер 12 сентября, который, по словам группы, был защищен до 10 сентября. Microsoft получила уведомление 13 сентября после того, как был обнаружен владелец сервера. Открытый сервер был защищен Центром безопасности Майкрософт 16 сентября.

WizCase удалось идентифицировать утечку данных и последующую атаку «мяу» на данные во время открытого окна. Атака Meow – это автоматическая атака на открытый сервер, целью которой является удаление большой части или всех данных на сервере. Эта атака Meow удалила почти всю базу данных.

К тому времени, когда вторая атака Meow поразила сервер 14 сентября, злоумышленниками было собрано около 100 миллионов записей. Многие хакеры имели доступ к данным, пока сервер был открыт, поэтому большая часть или все данные могли быть собраны.

Что это значит для пользователей?

Открытый сервер, заполненный терабайтами пользовательских данных, – настоящая находка для злоумышленников. Данные, включенные в сервер, включали следующее:

условия поиска в виде обычного текста Координаты местоположения пользователей с включенным местоположением Точное время поиска Маркеры уведомлений Firebase Данные купонов для условий результатов Частичный список URL-адресов, посещенных в результатах поиска Модель устройства, идентификатор устройства, хэш устройства и ADID для устройства пользователя

В этой базе данных можно искать конкретных пользователей на основе запросов или местоположений, что может привести к мошенничеству, шантажу, фишингу или физической угрозе. Команда WizCase смогла идентифицировать конкретные пользователь, которые искали детскую порнографию, оружие, или где атаковать конкретные группы людей.

Кто угодно мог загрузить содержимое сервера в течение шестидневного окна. Злоумышленники через Интернет могут атаковать любого, кто использует мобильное приложение, данные которого хранятся на этом сервере. Чтобы защитить себя, убедитесь, что вы не открываете странные электронные письма и не пользуетесь альтернативными поисковыми системами, такими как DuckDuckGo, которые не собирают пользовательские данные.

Соцсети