Egy hibásan konfigurált szerver miatt a hatalmas adattömeg állítólag napokon keresztül elérhető volt, szerencsére a Microsoft szerint nem történt semmi izgalmas.

A WizCase online biztonsági csapatának tegnapi bejelentése szerint masszív adatszivárgást fedeztek fel a Microsoft Bing mobil alkalmazásához kapcsolódóan. A független értékelő oldal blogbejegyzése szerint egy nem megfelelően biztosított Elastic szerveren több mint 10 millió Google Play letöltés és az appon keresztül végzett több millió napi netes keresés adatai váltak elérhetővé.

A kutatók szerint a 6,5 TB méretű állomány naponta majdnem 200 GB növekedést mutatott a felfedezés bejelentése és a Microsoft válaszáig eltelt néhány nap során, az adatok között pedig legalább 70 országból származó felhasználói adatokra bukkantak. Ennek alapján pedig azt feltételezik, hogy a mobilos Bing alkalmazáson átfolyó összes keresés információi itt kötöttek ki.

A WizCase szerint a szóban forgó szervert szeptember első hetében még a megfelelő jelszavas hitelesítéssel védték, ez azonban valamilyen okból megszűnt nem sokkal azelőtt, hogy az adatszivárgás nyomára bukkantak. Miután megállapították, hogy az adatbázis a Bing applikációval áll összefüggésben, szeptember 13-án értesítették a Microsoft Security Response Center egységét, ahol szeptember 16-ára tették elérhetetlenné az adatokat.

A bejegyzés szerint a szerverről 100 millió rekordot töltöttek le, és azt két alkalommal is úgynevezett Meow támadások érték, amelyek során majdnem a teljes adatbázist törölték. Ez utóbbi az olyan látszólag céltalan támadásokat jelöli, amikor valaki felülírja vagy megsemmisíti az interneten talált, nem biztonságos és hibásan konfigurált adatbázisok tartalmát.

Az adatok ezektől függetlenül is hosszú ideig voltak hozzáférhetők a hekkerek vagy scammerek számára, akik a WizCase szerint a megszerzett információ révén sokféle támadást felépíthetnek a Bing mobil alkalmazás ellen, legyen szó zsarolásról, adathalász kampányokról vagy akár a fizikai betörésekről, ha valaki összeveti az egyes felhasználók napi rutinját és megvásárolt tárgyait.

Reméljük a legjobbakat

A WizCase állítólag több olyan keresést is azonosított az adatbázisban, amelyeket egyértelműen rosszindulatú szereplők folytattak, vagy csak nyugtalanító témákhoz kapcsolódtak. A WizCase szakemberei itt azt is megjegyzik, hogy etikus hekkerként nem rendelkeznek az elkövetők azonosításához szükséges erőforrásokkal, de a gyerekpornográfiát célzó lekérdezések biztosan nem köthetők legális tevékenységekhez.

A nagyszabású adatszivárgásban a teljesség igénye nélkül keresőkifejezések, helykoordináták, a keresések ideje, Firebase tokenek, vásárlási kuponok adatai, készülékinformációk, operációs rendszerek adatai és a felhasználókhoz rendelt különféle azonosítók is szerepeltek. Bár ezek közvetlen módon nem alkalmasak az egyes személyek azonosítására, korábbi példákból már kiderült, hogy ez nem minden esetben jelent bármilyen védettséget.

A The Register beszámolója felidézi, hogy amikor az AOL 2006-ban óriási mennyiségű, szándékai szerint anonimizált keresési adatot tett elérhetővé, akkor az újságírók nagyon hamar bebizonyították, hogy egyáltalán nem lehetetlen a azokat konkrét felhasználókhoz kötni. Ennek a legegyszerűbb esete az volt, hogy egy azon felhasználóhoz ugyanazt a numerikus kulcsot rendelték, így nem volt nehéz összebogarászni az adott személyek online tevékenységének elemeit, és aztán kiháromszögelni a valódi kilétüket.

A Microsoft szóvivője a lapnak arról beszélt, hogy jelen esetben csak egy rossz konfigurációt kellett javítaniuk, ami kis mennyiségű keresési adat elérhetőségéhez vezetett. A vállalat saját elemzésére hivatkozva azt állítja, hogy ezek köre igen korlátozott és személyazonoításra alkalmatlan volt. Abba azonban már nem ment bele, hogy a méretes adattömeget a jelek szerint még csak nem is titkosítva tárolták.

Biztonság

Csalóknak jöhet jól, hogy a ChatGPT még a nagyvállalatok címét is gyakran elhibázza

Egy információbiztonsági cég hívta fel a figyelmet arra, hogy a sokszor badarságokat tényként beállító chatbotokra való túlzott támaszkodás komoly lehetőségekkel kecsegteti netes bűnözőket.
 
Hirdetés

Így újult meg Magyarország leggyorsabb mobilhálózata

Közel 100 milliárd forintos beruházással, a rádiós és maghálózat teljes modernizációjával zárult le a Yettel történetének egyik legnagyobb műszaki fejlesztése.

A kompromittált rendszerek, a dark weben felbukkanó ügyféladatok vagy a zsarolóvírus-kampányok következményei már a vezérigazgatói és pénzügyi igazgatói irodában csapódnak le – jogi, reputációs és üzleti szinten is. Lehet és kell is védekezni ellene.
Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2025 Bitport.hu Média Kft. Minden jog fenntartva.