La base de datos de la aplicación móvil Bing quedó abierta a los piratas informáticos, millones de conjuntos de datos de usuarios comprometidos

Los usuarios de la aplicación móvil Bing en todas las plataformas, incluidos iOS y iPadOS, corren riesgo después de que se hayan robado terabytes de información del usuario de un servidor abierto.

Bing es el motor de búsqueda propiedad de Microsoft y los datos relacionados con la aplicación móvil para iOS y Android se han encontrado en un servidor abierto. El servidor había terminado 6.5 TB de datos y crecía 200 GB por día tras el descubrimiento.

El grupo de hackers de sombrero blanco WizCase descubrió el servidor abierto en septiembre 12, que había estado asegurada hasta el 10 de septiembre según el grupo. Microsoft fue alertado en septiembre 13 después de que se descubrió al propietario del servidor. El servidor abierto fue protegido por el Centro de respuesta de seguridad de Microsoft en septiembre 16.

  

WizCase pudo identificar una exfiltración de los datos y un posterior ataque “Miau” a los datos durante la ventana abierta. Un ataque Meow es un ataque automatizado a un servidor abierto que tiene como objetivo eliminar una gran parte o todos los datos del servidor. Este ataque Meow eliminó casi toda la base de datos.

Casi 100 millones de registros habían sido recopilados por malos actores cuando un segundo ataque de Meow golpeó el servidor en septiembre. 14. Muchos tipos de piratas informáticos tenían acceso a los datos mientras el servidor estaba abierto, por lo que se podrían haber recopilado muchos o todos los datos.

¿Qué significa esto para los usuarios?

Un servidor abierto lleno de terabytes de datos de usuario es un tesoro para los piratas informáticos que actúan mal. Los datos incluidos en el servidor incluyen lo siguiente:

Términos de búsqueda de texto sin formato Coordenadas de ubicación de los usuarios con la ubicación habilitada Hora exacta de búsqueda Token de notificación de Firebase Datos de cupón para términos de resultado A lista parcial de las URL visitadas en los resultados de búsquedaModelo de dispositivo ID de dispositivo, hash de dispositivo y ADID para el dispositivo del usuario

Se puede buscar en esta base de datos para localizar usuarios específicos en función de consultas o ubicaciones, lo que puede provocar fraude, chantaje, phishing o amenazas físicas. El equipo de WizCase pudo identificar usuarios específicos que habían buscado pornografía infantil, armas o dónde atacar a grupos específicos de personas.

Cualquiera podría haber descargado el contenido del servidor durante la ventana de seis días. Los atacantes basados ​​en Internet podrían atacar a cualquiera que haya utilizado la aplicación móvil cuyos datos estén presentes en este servidor. Para protegerse, asegúrese de no abrir correos electrónicos extraños y utilizar motores de búsqueda alternativos como DuckDuckGo, que no recopila datos del usuario.