База данных мобильного приложения Bing открыта для хакеров, миллионы наборов пользовательских данных скомпрометированы

Пользователи мобильных приложений Bing на всех платформах, включая iOS и iPadOS, подвергаются риску после кражи терабайтов пользовательской информации с открытого сервера.

Bing — это поисковая система, принадлежащая Microsoft, и данные, относящиеся к мобильному приложению для iOS и Android, были обнаружены на открытом сервере. На сервере было более 6,5 ТБ данных, и он увеличивался на 200 ГБ в день после обнаружения.

Группа белых хакеров WizCase обнаружила открытый сервер 12 сентября, который, по словам группы, находился в безопасности до 10 сентября. Microsoft была уведомлена 13 сентября после того, как был обнаружен владелец сервера. Открытый сервер был защищен Центром реагирования на безопасность Майкрософт 16 сентября.

WizCase смог идентифицировать кражу данных и последующее «Мяу». атака на данные в открытом окне. Атака Meow — это автоматическая атака на открытый сервер, целью которой является удаление большой части или всех данных на сервере. Эта атака Meow удалила почти всю базу данных.

К тому времени, когда вторая атака Meow поразила сервер в сентябре, злоумышленники собрали около 100 миллионов записей. 14. Многие типы хакеров имели доступ к данным, пока сервер был открыт, поэтому большая часть или все данные могли быть собраны.

Что это значит значит для пользователей?

Открытый сервер, заполненный терабайтами пользовательских данных, — это настоящая находка для злоумышленников. Данные, включенные в сервер, включали следующее:

  • условия поиска в виде обычного текста
  • Координаты местоположения пользователи с включенным местоположением
  • Точное время поиска
  • Жетоны уведомлений Firebase
  • Данные купонов для условий результатов
  • частичный список URL-адресов, посещенных в результатах поиска.
  • Модель устройства
  • deviceID, devicehash и ADID для устройства пользователя

В этой базе данных можно искать конкретных пользователей на основе запросов или местоположений, что может привести к мошенничеству, шантажу, фишингу или физической угрозе. . Команда WizCase смогла идентифицировать конкретных пользователей, которые искали детскую порнографию, оружие или места для нападения на определенные группы людей.

Кто угодно мог загрузить содержимое сервера в течение шестидневного окна. Злоумышленники через Интернет могут атаковать любого, кто использует мобильное приложение, данные которого хранятся на этом сервере. Чтобы защитить себя, убедитесь, что вы не открываете странные электронные письма и не используете альтернативные поисковые системы, такие как DuckDuckGo, которые не собирают данные о пользователях.

Оцените статью
futurei.ru
Добавить комментарий