A WizCase online biztonsági csapatának tegnapi bejelentése szerint masszív adatszivárgást fedeztek fel a Microsoft Bing mobil alkalmazásához kapcsolódóan. A független értékelő oldal blogbejegyzése szerint egy nem megfelelően biztosított Elastic szerveren több mint 10 millió Google Play letöltés és az appon keresztül végzett több millió napi netes keresés adatai váltak elérhetővé.

A kutatók szerint a 6,5 TB méretű állomány naponta majdnem 200 GB növekedést mutatott a felfedezés bejelentése és a Microsoft válaszáig eltelt néhány nap során, az adatok között pedig legalább 70 országból származó felhasználói adatokra bukkantak. Ennek alapján pedig azt feltételezik, hogy a mobilos Bing alkalmazáson átfolyó összes keresés információi itt kötöttek ki.

A WizCase szerint a szóban forgó szervert szeptember első hetében még a megfelelő jelszavas hitelesítéssel védték, ez azonban valamilyen okból megszűnt nem sokkal azelőtt, hogy az adatszivárgás nyomára bukkantak. Miután megállapították, hogy az adatbázis a Bing applikációval áll összefüggésben, szeptember 13-án értesítették a Microsoft Security Response Center egységét, ahol szeptember 16-ára tették elérhetetlenné az adatokat.

A bejegyzés szerint a szerverről 100 millió rekordot töltöttek le, és azt két alkalommal is úgynevezett Meow támadások érték, amelyek során majdnem a teljes adatbázist törölték. Ez utóbbi az olyan látszólag céltalan támadásokat jelöli, amikor valaki felülírja vagy megsemmisíti az interneten talált, nem biztonságos és hibásan konfigurált adatbázisok tartalmát.

Az adatok ezektől függetlenül is hosszú ideig voltak hozzáférhetők a hekkerek vagy scammerek számára, akik a WizCase szerint a megszerzett információ révén sokféle támadást felépíthetnek a Bing mobil alkalmazás ellen, legyen szó zsarolásról, adathalász kampányokról vagy akár a fizikai betörésekről, ha valaki összeveti az egyes felhasználók napi rutinját és megvásárolt tárgyait.

Reméljük a legjobbakat

A WizCase állítólag több olyan keresést is azonosított az adatbázisban, amelyeket egyértelműen rosszindulatú szereplők folytattak, vagy csak nyugtalanító témákhoz kapcsolódtak. A WizCase szakemberei itt azt is megjegyzik, hogy etikus hekkerként nem rendelkeznek az elkövetők azonosításához szükséges erőforrásokkal, de a gyerekpornográfiát célzó lekérdezések biztosan nem köthetők legális tevékenységekhez.

A nagyszabású adatszivárgásban a teljesség igénye nélkül keresőkifejezések, helykoordináták, a keresések ideje, Firebase tokenek, vásárlási kuponok adatai, készülékinformációk, operációs rendszerek adatai és a felhasználókhoz rendelt különféle azonosítók is szerepeltek. Bár ezek közvetlen módon nem alkalmasak az egyes személyek azonosítására, korábbi példákból már kiderült, hogy ez nem minden esetben jelent bármilyen védettséget.

A The Register beszámolója felidézi, hogy amikor az AOL 2006-ban óriási mennyiségű, szándékai szerint anonimizált keresési adatot tett elérhetővé, akkor az újságírók nagyon hamar bebizonyították, hogy egyáltalán nem lehetetlen a azokat konkrét felhasználókhoz kötni. Ennek a legegyszerűbb esete az volt, hogy egy azon felhasználóhoz ugyanazt a numerikus kulcsot rendelték, így nem volt nehéz összebogarászni az adott személyek online tevékenységének elemeit, és aztán kiháromszögelni a valódi kilétüket.

A Microsoft szóvivője a lapnak arról beszélt, hogy jelen esetben csak egy rossz konfigurációt kellett javítaniuk, ami kis mennyiségű keresési adat elérhetőségéhez vezetett. A vállalat saját elemzésére hivatkozva azt állítja, hogy ezek köre igen korlátozott és személyazonoításra alkalmatlan volt. Abba azonban már nem ment bele, hogy a méretes adattömeget a jelek szerint még csak nem is titkosítva tárolták.