近日,WizCase专家发现了一个不受保护的Elasticsearch服务器,其中包含了与微软旗下Bing移动应用程序用户相关的TB级数据。
该数据库应有密码保护,然而,9月12日,WizCase在线安全团队发现,大约两天前,数据库中的身份验证被移除,其内容暴露给互联网上的所有人。
白帽黑客Ata Hakcil发现了这一漏洞,并通过安装应用程序并对WizCase进行搜索,确认了Elasticsearch服务器属于微软的Bing移动应用。
“在浏览服务器时,我发现了自己的信息,包括搜索查询、设备细节和GPS坐标,证明了暴露出来的数据直接来自Bing移动应用。”WizCase的专家透露。
“Bing移动应用程序在谷歌和苹果的应用商店中均能找到。”WizCase指出,该软件仅在谷歌Play上就有超过1000万的下载量,每天记录数百万次搜索。
Hakcil和他的团队注意到暴露的6.5 TB服务器每天接收多达200G的数据。
“基于如此庞大的数据,我们可以有把握地推测,在服务器被曝光后,任何使用手机应用程序“Bing”进行搜索的人都有风险。”我们看到了来自70多个国家的搜索记录。”
WizCase的研究团队在互联网上搜索敞开的数据库或服务器时发现了该数据库,并找到了一台未加保护的ElasticSearch服务器,这台服务器负责记录明文格式的搜索查询词、位置坐标和设备详细信息。
该服务器还显示了执行搜索查询的搜索条件(存储在纯文本),精确的位置(如果启用应用程序位置许可权限-坐标在500米的范围内位置数据),确切时间、设备型号、Firebase通知令牌(让开发人员可以将通知发送到某个特定设备)、用户从搜索结果中选择访问的URL列表以及优惠券数据(包括复制代码时的信息)。
另外,泄露的数据中有一部分是独特的ID号(比如ADID、Devicehash和DeviceID)以及操作系统数据。
WizCase表示,微软在9月13日就收到了泄露服务器的警告,其安全团队在9月16日对其进行了保护。
然而,在被曝光的时间范围内,数据库至少被Meow攻击了两次,攻击者几乎删除了整个数据库。
专家们透露:“我们在12日发现该服务器时,自攻击以来收集的记录有1亿条。”9月14日,该服务器受到了第二次Meow攻击。
微软辩称,泄露的数据数量很少。该公司发言人表示:“我们已解决了配置不当问题,该问题导致少量的搜索查询数据泄露。我们在分析后确定,泄露的数据很有限,且无法识别用户的身份。”(文章来源:E安全)