| 22 сентября 2020 г. — 7:35 PT
Команда исследователей безопасности обнаружила, что данные пользователей Bing были доступны на сервере, принадлежащем Microsoft. Данные получены из версий приложения Bing для iOS и Android. К раскрытым данным относятся уникальные идентификаторы пользователей, поисковые запросы, местоположение и даже посещенные веб-страницы в результате поиска…
Об этом сообщило издание, посвященное вопросам безопасности, WizCase. Согласно их данным, база данных изначально была защищена паролем, но оставалась незащищенной с 10 по 16 сентября.
Команда WizCase по онлайн-безопасности во главе с хакером-белым воротничком Атой Хакчилом обнаружила масштабную утечку данных на сервере, принадлежащем Microsoft, которая фиксировала данные, связанные с ее мобильным приложением Bing, доступным в Google Play и App Store.
После расследования, которое привело к приложению Microsoft Bing, Хакчил подтвердил свои выводы, скачав приложение и выполнив поиск по запросу «Wizcase». Изучая сервер, он обнаружил свою информацию, включая поисковые запросы, сведения об устройстве и GPS-координаты, что доказывает, что раскрытые данные поступают непосредственно из мобильного приложения Bing.
Объем раскрытых данных пользователей Bing вызывает тревогу.
- Поисковые запросы в открытом тексте, за исключением тех, что вводились в приватном режиме
- Координаты местоположения: если в приложении разрешено использование геолокации, в наборе данных указывалось точное местоположение в пределах 500 метров. Хотя раскрытые координаты не являются абсолютно точными, они все же дают относительно небольшой радиус, где находится пользователь. Просто скопировав их в Google Maps, можно было бы использовать их для отслеживания владельца телефона.
- Точное время выполнения поиска.
- Токены уведомлений Firebase
- Данные купонов, такие как время копирования кода купона или его автоматического применения приложением, а также URL-адрес, на котором это произошло
- Частичный список URL-адресов, посещенных пользователями из результатов поиска
- Модель устройства (телефона или планшета)
- Операционная система
- 3 отдельных уникальных номера, присвоенных каждому пользователю, найденному в данных
- ADID: Похоже, это уникальный идентификатор для учетной записи Microsoft
- deviceID
- devicehash
В базе данных были обнаружены поисковые запросы изображений детского сексуального насилия.
Команда могла видеть поисковые запросы, вводимые хищниками, искавшими детскую порнографию, и веб-сайты, которые они посещали после поиска.
WizCase сообщила о взломе Microsoft 13 сентября, но технологический гигант не обеспечил безопасность данных до 16 сентября.
Исследователи рекомендуют отказаться от разрешения геолокации для приложения Bing и использовать VPN при выполнении поиска.