Bing搜索數據庫泄露，多大1億條搜索記錄和位置信息被截??！

配置不當的服務器記錄了來自Bing移動應用程序的數據。

WizCase安全團隊發現記錄Bing移動應用程序數據的微軟擁有的一臺服務器泄露了大量數據。安全團隊發現，數據是通過一臺未做好安全工作的ElasticSearch服務器泄露出去的。

該研究團隊由白帽黑客Ata Hackil領導，他認為這臺未做好安全工作的服務器允許第三方獲取重要的敏感數據，比如搜索查詢。

Bing移動應用程序在谷歌和蘋果的應用商店中均能找到。它在谷歌Play Store上的下載量超過了10000000人次，每天通過它執行的搜索多達數百萬次。

WizCase的研究團隊在互聯網上搜索敞開的數據庫或服務器時發現了該數據庫，并找到了一臺未加保護的ElasticSearch服務器，這臺服務器負責記錄明文格式的搜索查詢詞、位置坐標和設備詳細信息。

該服務器還顯示了執行搜索查詢的確切時間、設備型號、Firebase通知令牌（讓開發人員可以將通知發送到某個特定設備）、用戶從搜索結果中選擇訪問的URL列表以及優惠券數據（包括復制代碼時的信息）。

另外，泄露的數據中有一部分是獨特的ID號（比如ADID、Devicehash和DeviceID）以及操作系統數據。

泄露數據的那臺服務器記錄的用戶信息（圖片來源：Wizcase）

此外研究人員發現，如果用戶在Bing應用程序上啟用了位置許可權限，該服務器泄露了距離500米內的精確的位置數據。研究人員聲稱，雖然泄露的坐標并不準確，但可以給出用戶位置的大致參數。

研究人員在博客中寫道：“只需將它們復制到谷歌地圖上，就有可能使用它們追溯到手機的所有者?！?/p>

好消息是，Bing搜索引擎移動應用程序用戶的個人數據（比如姓名）并沒有泄露出去。此外，私密模式下輸入查詢的用戶未受到影響。

然而，WizCase的研究人員認為，泄露的任何數據都足以使不法分子進行網絡釣魚詐騙、勒索攻擊及其他種類的惡意活動。他們只需要將用戶身份與位置數據和搜索查詢關聯起來。

服務器記錄的一些可怕的搜索查詢包括用戶搜索虐待兒童的內容。（圖片來源：Wizcase）

此外，攻擊者可根據搜索查詢數據，了解用戶的日?；顒右约八麄兪欠駬碛鞋F金或貴重物品。這些信息會帶來搶劫的風險。

研究人員特別指出：“比如說，要是有人搜索在哪里可以買到貴重物品或貴重物品貯藏方面的指示，攻擊者可能會準備好竊取這類物品?！?/p>

Bing的移動應用程序版存儲在一臺容量多達6.5TB的服務器上，研究人員認為該服務器在9月10日之前受密碼保護。9月12日，他們發現該服務器未受保護，次日他們將該問題告知了微軟。到9月16日，該服務器已做好了安全工作。

WizCase的研究人員Chase Williams表示，他們并沒有計算到底有多少用戶受到此泄露事件的影響，不過推測可能為數眾多。

Williams寫道：“從數據的絕對數據量來看，大致可以推測，該服務器泄露期間使用該移動應用程序執行Bing搜索的任何人都面臨危險。我們看到了來自70多個國家的執行搜索的人的記錄?！?/p>

他們還聲稱，該服務器在9月10日、9月12日至9月14日期間遭到了Meow攻擊。

“從我們看到的情況來看，9月10日至12日期間，該服務器受到了Meow攻擊，這次攻擊幾乎刪除了整個數據庫。我們在12日發現該服務器時，自攻擊以來收集的記錄有1億條。9月14日，該服務器受到了第二次Meow攻擊?！?/p>

由于Elasticsearch服務器向來就有在網上泄露數據的名聲，這次事件不足為奇。此外，配置不當的數據庫在過去幾年已泄露了數十億條敏感記錄。

微軟辯稱，泄露的數據數量很少。該公司發言人表示：“我們已解決了配置不當問題，該問題導致少量的搜索查詢數據泄露。我們在分析后確定，泄露的數據很有限，且無法識別用戶的身份。”