微软Bing泄露多达6.5TB用户数据:包含搜索记录和位置
配置不当的服务器记录了来自Bing移动应用程序的数据。
WizCase安全团队发现记录Bing移动应用程序数据的微软拥有的一台服务器泄露了大量数据。安全团队发现,数据是通过一台未做好安全工作的ElasticSearch服务器泄露出去的。
该研究团队由白帽黑客Ata Hackil领导,他认为这台未做好安全工作的服务器允许第三方获取重要的敏感数据,比如搜索查询。
Bing移动应用程序在谷歌和苹果的应用商店中均能找到。它在谷歌Play Store上的下载量超过了10000000人次,每天通过它执行的搜索多达数百万次。
WizCase的研究团队在互联网上搜索敞开的数据库或服务器时发现了该数据库,并找到了一台未加保护的ElasticSearch服务器,这台服务器负责记录明文格式的搜索查询词、位置坐标和设备详细信息。
该服务器还显示了执行搜索查询的确切时间、设备型号、Firebase通知令牌(让开发人员可以将通知发送到某个特定设备)、用户从搜索结果中选择访问的URL列表以及优惠券数据(包括复制代码时的信息)。
另外,泄露的数据中有一部分是独特的ID号(比如ADID、Devicehash和DeviceID)以及操作系统数据。
泄露数据的那台服务器记录的用户信息(图片来源:Wizcase)
此外研究人员发现,如果用户在Bing应用程序上启用了位置许可权限,该服务器泄露了距离500米内的精确的位置数据。研究人员声称,虽然泄露的坐标并不准确,但可以给出用户位置的大致参数。
研究人员在博客中写道:“只需将它们复制到谷歌地图上,就有可能使用它们追溯到手机的所有者。”
好消息是,Bing搜索引擎移动应用程序用户的个人数据(比如姓名)并没有泄露出去。此外,私密模式下输入查询的用户未受到影响。
然而,WizCase的研究人员认为,泄露的任何数据都足以使不法分子进行网络钓鱼诈骗、勒索攻击及其他种类的恶意活动。他们只需要将用户身份与位置数据和搜索查询关联起来。
服务器记录的一些可怕的搜索查询包括用户搜索虐待儿童的内容。(图片来源:Wizcase)
此外,攻击者可根据搜索查询数据,了解用户的日常活动以及他们是否拥有现金或贵重物品。这些信息会带来抢劫的风险。
研究人员特别指出:“比如说,要是有人搜索在哪里可以买到贵重物品或贵重物品贮藏方面的指示,攻击者可能会准备好窃取这类物品。”
Bing的移动应用程序版存储在一台容量多达6.5TB的服务器上,研究人员认为该服务器在9月10日之前受密码保护。9月12日,他们发现该服务器未受保护,次日他们将该问题告知了微软。到9月16日,该服务器已做好了安全工作。
WizCase的研究人员Chase Williams表示,他们并没有计算到底有多少用户受到此泄露事件的影响,不过推测可能为数众多。
Williams写道:“从数据的绝对数据量来看,大致可以推测,该服务器泄露期间使用该移动应用程序执行Bing搜索的任何人都面临危险。我们看到了来自70多个国家的执行搜索的人的记录。”
他们还声称,该服务器在9月10日、9月12日至9月14日期间遭到了Meow攻击。
“从我们看到的情况来看,9月10日至12日期间,该服务器受到了Meow攻击,这次攻击几乎删除了整个数据库。我们在12日发现该服务器时,自攻击以来收集的记录有1亿条。9月14日,该服务器受到了第二次Meow攻击。”
由于Elasticsearch服务器向来就有在网上泄露数据的名声,这次事件不足为奇。此外,配置不当的数据库在过去几年已泄露了数十亿条敏感记录。
微软辩称,泄露的数据数量很少。该公司发言人表示:“我们已解决了配置不当问题,该问题导致少量的搜索查询数据泄露。我们在分析后确定,泄露的数据很有限,且无法识别用户的身份。”
微软Bing泄露多达6.5TB用户数据:包含搜索记录和位置相关推荐
- 系统服务器无法理解您的搜索词.,关于360浏览器记录用户的百度搜索记录、常搜词问题2...
在发现360安全浏览器明目张胆记录用户使用百度搜索引擎的搜索记录后,打开360浏览器用360搜索测试了一下,结果发现:用360搜索搜索过的记录几乎不出现在常搜词那里,但不管是通过①hao123主页的百 ...
- 绿洲因涉嫌抄袭下架;Facebook 泄露 4.19 亿条用户数据;Go 1.13 发布 | 极客头条...
快来收听极客头条音频版吧,智能播报由标贝科技提供技术支持. 「CSDN 极客头条」,是从 CSDN 网站延伸至官方微信公众号的特别栏目,专注于一天业界事报道.风里雨里,我们将每天为朋友们,播报最新鲜有 ...
- 微软Bing Chat全面开放,所有人可用!官宣多项重大升级,日活用户超过1亿
来源:AI前线 作者:冬梅 当地时间 5 月 4 日,根据 The Verge 报道,微软宣布公司旗下基于 ChatGPT-4 的 Bing Chat 功能已进入开放预览(Open Preview)模 ...
- ios 修复 内存泄露_Semtech发布全新LoRa射频收发器;丝芙兰用户数据遭泄露 | 一周物联网新闻大视野...
本文来源:网络综合整理 传感器和条码 搜索 1.麻省理工学院推出新型传感器 提高败血症诊断效率 2019年8月2日消息 近日,麻省理工学院的研究团队开发了一种新型传感器,能够更快.更简易并且更便宜地诊 ...
- 重磅!微软Bing爆炸级更新!答案图文并茂,网友:逼 ChatGPT 放大招?
点击下方卡片,关注"CVer"公众号 AI/CV重磅干货,第一时间送达 点击进入->[Transformer]微信技术交流群 杨净 明敏 发自 凹非寺 转载自:量子位(Qbi ...
- 微软Bing突然爆炸级更新!BingChat全面开放,下一代搜索要来啦!
夕小瑶科技说 分享 来源 | 量子位 作者 | 杨净 明敏 所有人都能上手微软Bing了! 今天,微软突然官宣全面开放BingChat: 无需任何等待.只需注册一个账户,首页即可体验. 更关键的 ...
- 快速构建深度学习图像数据集,微软Bing和Google哪个更好用?
译者 | Serene 编辑 | 明明 出品 | AI 科技大本营(公众号ID:rgznai100) [AI 科技大本营导读]在本文中,作者将利用微软的 Bing Image Search API 来 ...
- 3.83亿开房记录被泄露后,万豪又又又泄露用户数据了
作者丨万佳 不到两年,万豪酒店再次发生数据泄露.本周二,万豪酒店表示,公司有近 520 万房客的个人信息被泄露.上一次万豪有 3.83 亿人次详细个人信息被泄露. 1 事件回顾 3 月 31 日,据 ...
- 元宇宙大比拼:苹果Apple, Facebook,微软,英伟达,iwemeta
元宇宙大比拼:苹果Apple, Facebook,微软,英伟达,iwemeta 哪个才是云宇宙的大Boss? 壹.我们不用"元宇宙"这个词!苹果CEO库克:我们称其为AR 不要讲 ...
最新文章
- windows10配置jenkins
- 哈希表建立及冲突处理
- 【GNN】啥是GNN?GNN咋学?GNN何用?
- 动态IL织入框架Harmony简单入手
- python连接mongo_使用简单的Python连接访问MongoDB
- 8. 字符串转换整数 (atoi)(正则表达式)
- java的线程的daemon_Java 多线程(四)之守护线程(Daemon)
- 送走2007 ^_^ 迎来2008
- 7-1 输出n个数 (10 分)
- spring 事物(一)—— 事物详解
- 截止频率计算公式wc_计算截止频率Wc的快速方法
- Halcon如何创建或生成空白的,全黑或全白的8位图和24位图
- 使用Photoshop给Premiere批量添加对白字幕听语音 |浏览:25974|更新:2013-12-23 23:18|标签:photoshop premiere 使用Photoshop给Pre
- Vue.js--表单修饰符(.lazy、.number、.trim)详解
- HTML5 概述及基本语法
- mysql导入dum_mysql,mysqldump命令导入 导出表结构或数据
- 【Chips】跨时钟域的亚稳态处理、为什么要打两拍不是打一拍、为什么打两拍能有效?
- Aria2 GUI for Mac V1.3 极速版 百度网盘高速下载神器
- 乐享计算机会计学院,从ACCA到CPA,他在「财会路」上乐享前行
- 揭秘马斯克脑机接口公司Neuralink的科学雄心