Milioni di dati degli utenti Bing rubati
Bing è il motore di ricerca di proprietà di Microsoft e i dati rubati appartengono all’app per dispositivi mobili (iOS e Android) che si trovava su un server aperto. Il server aveva circa 6,5 TB di dati e stava crescendo di 200 GB al giorno quando è stato scoperto.
Gli utenti dell’app mobile Bing su qualsiasi piattaforma, inclusi iOS e iPadOS, sono a rischio dopo il furto di terabyte di informazioni personali degli utenti da un server non sicuro.
Il gruppo di hacker (dedicato alle buone pratiche) WizCase ha scoperto il server aperto il 12 settembre, che era stato protetto fino al 10 settembre. Microsoft è stata avvisata il 13 settembre, dopo aver scoperto chi era il proprietario del server. Il server non protetto è stato protetto dal Microsoft Security Response Center il 16 settembre.
WizCase è stato in grado di identificare l’estrazione dei dati e un successivo attacco «Meow» durante il tempo in cui è stato aperto. Un attacco Meow è un attacco automatico a un server esposto che mira a cancellare una grande quantità di dati dal server. Questo attacco Meow ha quasi completamente cancellato il database.
Circa 100 milioni di record erano stati raccolti dagli «hacker» quando un secondo attacco Meow è stato lanciato contro il server il 14 settembre. Molti tipi di hacker hanno avuto accesso ai dati mentre il server era aperto, quindi c’è stato abbastanza tempo per ottenere quasi tutti i dati sul server.
Cosa significa per gli utenti?
Un server aperto pieno di terabyte di dati utente è una vera delizia per gli hacker malintenzionati. I dati inclusi nel server includevano quanto segue:
- termini di ricerca in testo semplice
- Coordinate di posizione degli utenti che hanno attivato la geolocalizzazione
- Tempo esatto di ricerca
- Token di rivendicazione Firebase
- Dati dei termini nei risultati di ricerca
- Elenco parziale degli URL visitati all’interno dei risultati di ricerca
- Modello del dispositivo utilizzato
- deviceID, devicehash e ADID del dispositivo dell’utente
Questo database può essere utilizzato per cercare utenti specifici in base a richieste o posizioni, il che può portare a frodi, ricatti, phishing o minacce fisiche. Il team di WizCase è stato in grado di identificare utenti specifici che avevano cercato materiale pedopornografico, armi o dove attaccare gruppi specifici di persone.