Książka sekuraka o bezpieczeństwie aplikacji webowych: -20% z kodem rabatowym: ksiazka-wakacje

Wyciek z microsoftowej wyszukiwarki Bing – 6.5TB danych dostępnych publicznie. Wyszukiwane frazy, geolokalizacje osób korzystających z wyszukiwarki, …

22 września 2020, 10:17 | W biegu | 0 komentarzy
Tagi: ,

Dane w bazie były aktualizowane na bieżąco, a zbierane były z mobilnej wersji wyszukiwarki (appka na Androida oraz iOS):

Hakcil and his team discovered a 6.5TB server and saw it was growing by as much as 200GB per day. Based on the sheer amount of data, it is safe to speculate that anyone who has made a Bing search with the mobile app while the server has been exposed is at risk. We saw records of people searching from more than 70 countries.

Wprawdzie w bazie nie było danych osobowych, ale były dość szczegółowe informacje dotyczące wyszukiwania (sama treść wyszukania, system operacyjny, lokalizacja – jeśli była udostępniona aplikacji, czy kliknięte po wyszukaniu linki). Nie trudno sobie wyobrazić kilka scenariuszy, wg których można by wykorzystać takie informacje. Poniżej np. ktoś szuka broni, jak widać w dość niecnych celach (w logach też była lokalizacja wyszukującego):

Możecie się zastanawiać co było główną przyczyną wycieku? I tym razem nie zawiódł nas nasz dobry przyjaciel: Elasticsearch, o którym pisaliśmy już wiele razy (wyciek z Avon, wyciek logów z VPNów które mają 0-log policy, wyciek z firmy gamingowej Razer). W skrócie – napastnikom wystarczyło zlokalizować adres IP oraz odpowiedni port. Dalej – wszystkie dane były dostępne bez żadnego uwierzytelnienia.

Microsoft przyjął zgłoszenie i obecnie baza nie jest już dostępna publicznie.

Jak znajdować tego typu wycieki (potencjalnie również w swojej infrastrukturze)? Tego dowiesz się na naszym szkoleniu z rekonesansu infrastruktury IT.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz