安全廠商WizCase偕同白帽駭客Ata Hakcil於本月發現,一臺隷屬於微軟的連網伺服器未加密碼。這臺伺服器為一Elasticsearch伺服器,存放Bing App用戶使用而產生的相關資料,包括查詢關鍵字、使用裝置等資訊。(圖片來源/WizCase)

小型公司伺服器組態不當,資料外洩影響有限。若是微軟等級雲端供應商的系統防護不當,造成的風險可就完全不同。安全公司本月稍早發現,微軟一臺伺服器曝露於公開網路上,當中存放了6.5TB的Bing用戶搜尋資料,而且已經遭到攻擊刪除大部分資料。

安全廠商WizCase偕同白帽駭客Ata Hakcil於本月發現,一臺隷屬於微軟的連網伺服器未加密碼。這臺伺服器為一Elasticsearch伺服器,此類伺服器是企業將大量資料彙整起來以利日後搜尋及查詢。經過探究,這臺伺服器存放Bing App用戶使用而產生的相關資料,包括查詢關鍵字、裝置資訊、GPS座標、查詢詳細時間、使用者由搜尋引擎連出去的網址、作業系統、使用者ID資料如微軟帳號ID、裝置ID及、Firebase通知令符等。

為了驗證,研究人員下載Bing App後立即搜尋了Wizcase,即可立即發現他的搜尋關鍵字、裝置資料及GPS座標等,證實這個資料庫的確直接來自Bing App。

儘管Bing並非最主要的搜尋引擎,但是使用者還是很多,光是Google Play下載的Android版就超過1,000萬、每天產生數百萬次搜尋。

研究團隊於9月12日發現這個資料庫,但同時也在9月10日到12日之間,這臺伺服器遭到Meow攻擊(以自動化工具刪除資料的攻擊行為),對方刪除了幾乎整個資料庫。到了12日資料庫又新增了1億筆資料,而到了14日,駭客再度發動Meow攻擊。

根據資料庫的紀錄,這批資料數量可能達6.5TB,每天以200GB速度增長,而從使用者地點資訊研判,用戶遍布70餘國。研究團隊推測任何以Bing App搜尋的用戶資料都在曝險範圍中。不過這批資料並不包含使用者個資。

至於理應擁有嚴謹資安防護的微軟,何以出現此一重大疏漏,研究團隊掃瞄得知,這臺伺服器在9月第一周前一直有設密碼防護。大約兩天前(9月10日)驗證不知為何被移除。他們於9月13日先後通知微軟及微軟安全回應中心(Microsoft Security Response Center,MSRC),微軟於9月16日重新加上防護。

除了這幫駭客外,研究人員指出,這些資料如果落在歹徒手中,可能引發勒索信件、釣魚詐騙信、或是真的上門偷竊等威脅。

此外,研究人員也發現他們調查期間,還有其他人以Bing搜尋過買槍枝、射擊等,但這不代表一定是歹徒,也有可能是美國用戶近來想買槍自保的人變多所致,但是也有搜尋「兒童色情」、「殺掉共黨分子」這類明顯不法的行為。

研究人員提醒,雖然這次曝險的並不包含個資,但對不肖人士來說已經提供了充分資料,例如地點資訊。由於Bing(以及Google)等搜尋引擎都會存取大量用戶資訊,研究人員建議,為避免洩露地點資訊,使用時應關閉GPS、並啟用VPN上網。或者直接換隱私搜尋引擎,像是DuckDuckGo。


Advertisement

更多 iThome相關內容