Microsoft Bing Server 暴露用户搜索查询和位置信息

与Microsoft Bing相关的一个后端服务器暴露了搜索引擎移动应用用户的敏感数据，包括搜索查询、设备详细信息和GPS坐标等。

然而，日志数据库不包括任何个人信息，如姓名或地址。

9月12日，WizCase的Ata Hakcil发现了这一数据泄露，它是一个6.5TB的海量日志文件缓存，任何人都可以在没有任何密码的情况下访问这些文件，这有可能让攻击者利用这些信息进行敲诈和网络钓鱼诈骗。

WizCase称，服务器在9月10日之前一直受到密码保护，此后，身份验证似乎被无意中删除了。

微软安全响应中心知悉后，Windows制造商于9月16日解决了这一错误配置。

近年来，配置不当的服务器一直是数据泄露的持续来源，它会导致电子邮件地址、密码、电话号码和私人信息暴露。

WizCase的Chase Williams在周一的一篇文章中说：“基于绝对的数据量，可以安全地推测，任何在服务器暴露的情况下使用Bing搜索的人都有风险。”“我们看到了来自70多个国家的搜索记录。”

一些搜索词包括搜索儿童色情内容和他们在搜索后访问的网站，以及“与枪支相关的查询，包括购买枪支的搜索历史记录，以及‘杀死共产主义者’之类的搜索词。”

除了设备和位置的详细信息外，这些数据还包括使用移动应用程序执行搜索的确切时间、用户从搜索结果中访问的URL的部分列表以及三个唯一标识符，如ADID（Microsoft广告分配给广告的数字ID）、“deviceID”和“devicehash”。

此外，该服务器还遭受了至少两次所谓的“meow attack”，这是一次自动网络攻击，自7月以来，该攻击已从14000多个不安全的数据库实例中抹去数据，且没有任何解释。

尽管泄露的服务器没有透露姓名和其他个人信息，但WizCase警告说，这些数据可能被用于其他目的。此外，这还会让犯罪分子定位用户的行踪，用户可能会遭受人身攻击。

“无论是搜索成人内容、欺骗重要人物、极端政治观点，还是人们在必应上搜索的数百件令人尴尬的事情，”该公司表示一旦黑客掌握了搜索查询信息，他们可以根据服务器上提供的详细信息查出受害者的身份，从而使受害者容易成为敲诈的目标。”

稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。

本文由 HackerNews.cc 翻译整理，

转载请注明“转自 HackerNews.cc ” 并附上原文链接。