Un serveur Microsoft Bing a partagé des données sensibles

Une base de données non sécurisée a exposé des données sensibles pour les utilisateurs de l’application mobile du moteur de recherche Bing de Microsoft – y compris leurs coordonnées de localisation, les termes de recherche en texte clair, etc.

Bien qu’aucune information personnelle, comme les noms, n’ait été exposée, les chercheurs de Wizcase affirment que suffisamment de données étaient disponibles pour qu’il soit possible de lier ces requêtes de recherche et ces emplacements aux identités des utilisateurs, donnant aux individus malveillant des informations pour les attaques de chantage, les escroqueries par hameçonnage et plus encore.

Les données étaient liées à la version de l’application mobile de Microsoft Bing, hébergée sur un serveur de 6,5 téraoctets (To) appartenant à Microsoft. Les chercheurs pensent que le serveur était protégé par mot de passe jusqu’au 10 septembre, deux jours avant de découvrir le problème le 12 septembre. Microsoft a été alerté des données exposées le 13 septembre et a sécurisé le serveur le 16 septembre.

microsoft bing

Bien qu’ils n’aient pas calculé le nombre d’utilisateurs spécifiquement affectés, les chercheurs ont noté qu’il y avait eu plus de 10 millions de téléchargements de l’application Bing sur Google Play uniquement, avec des millions de recherches mobiles effectuées quotidiennement.

“En se basant sur la quantité de données, il est prudent de supposer que quiconque a effectué une recherche Bing avec l’application mobile alors que le serveur a été exposé est en danger”, a déclaré Chase Williams, chercheur chez Wizcase, dans un article. «Nous avons vu des données de personnes effectuant des recherches dans plus de 70 pays.»

Microsoft affirme que la quantité de données Bing exposées était «petite»

“Nous avons corrigé une erreur de configuration qui entraînait l’exposition d’une petite quantité de données de requête de recherche”, a déclaré un porte-parole de Microsoft. “Après analyse, nous avons déterminé que les données exposées étaient limitées et anonymisées.”

En plus des termes de recherche des utilisateurs de Bing qui étaient en texte clair, le serveur a également révélé l’heure de la recherche en cours d’exécution, les jetons de notification Firebase (permettant aux développeurs d’envoyer des notifications à des appareils spécifiques), des modèles d’appareils, une liste partielle des URL visitées depuis les résultats de la recherche, les données de coupon qui incluent des informations sur le moment où un code de coupon a été copié, les données du système d’exploitation et les numéros d’identification uniques (y compris ADID, qui semble être un ID unique pour un compte Microsoft, un deviceID et un devicehash).

Les chercheurs ont également constaté que des données de localisation précises (à moins de 500 mètres) étaient exposées, si l’autorisation de localisation est activée par les utilisateurs de l’application.

«Bien que les coordonnées exposées ne soient pas précises, elles donnent quand même un périmètre relativement petit de l’endroit où se trouve l’utilisateur», ont déclaré les chercheurs. “En les copiant simplement sur Google Maps, il pourrait être possible de les utiliser pour remonter jusqu’au propriétaire du téléphone.”

Il est à noter que les informations personnelles des utilisateurs de Bing – y compris leurs noms – n’ont pas été exposées et les utilisateurs qui ont entré des requêtes de recherche en mode privé étaient à l’abri de l’incident, ont déclaré les chercheurs.

microsoft bing

Les chercheurs affirment également qu’entre le 10 septembre et le 12 septembre et le jour du 14 septembre, le serveur a été ciblé par une «attaque Meow». Une attaque Meow fait référence à des attaques en cours qui ont commencé plus tôt en juillet et ont définitivement supprimé 1000 bases de données non sécurisées. L’attaque laisse le mot «meow» comme sa seule carte de visite, selon le chercheur Bob Daichenko. Les pirates de Meow ont également récemment ciblé un serveur Mailfire qui était mal configuré et accessible.

“D’après ce que nous avons vu, entre le 10 et le 12 septembre, le serveur a été ciblé par une attaque Meow qui a supprimé presque toute la base de données”, ont déclaré les chercheurs de Wizcase. «Lorsque nous avons découvert le serveur le 12, 100 millions d’enregistrements avaient été collectés depuis l’attaque. Il y a eu une deuxième attaque de Meow sur le serveur le 14 septembre. »

En plus des hackers Meow, ces données étaient potentiellement exposées à d’autres types de pirates et d’escrocs, ce qui pourrait conduire à une variété d’attaques de chantage et d’hameçonnage contre les utilisateurs de l’application mobile Bing, ont averti les chercheurs, en particulier lorsqu’il s’agit de requêtes de recherche.

«Qu’il s’agisse de rechercher du contenu pour adultes, de tromper un partenaire, d’opinions politiques extrêmes ou de centaines de choses embarrassantes que les gens recherchent sur Bing», ont déclaré les chercheurs, «une fois que le pirate a reçu la requête de recherche, il pourrait être possible de trouver une identité grâce à tous les détails disponibles sur le serveur, ce qui en fait une cible de chantage facile. »

L’exposition des données de localisation pourrait également ouvrir les victimes à des attaques physiques ou à des vols, ont déclaré des chercheurs.

«Le cybercriminel connaîtra non seulement la routine quotidienne des utilisateurs, mais il pourra également savoir si vous avez de l’argent ou des articles coûteux, en fonction des requêtes de recherche», ont-ils déclaré. “Par exemple, si l’on cherchait où acheter un article coûteux ou comment le stocker, l’attaquant pourrait être prêt à voler l’article.”

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x