Lỗi bảo mật trên máy chủ Bing làm rò rỉ vị trí và truy vấn tìm kiếm của người dùng

Một máy chủ back-end liên kết với công cụ tìm kiếm Microsoft Bing đã làm tiết lộ dữ liệu nhạy cảm của người dùng ứng dụng di động, gồm các truy vấn tìm kiếm, các thông tin chi tiết về thiết bị và tọa độ GPS, cùng nhiều dữ liệu quan trọng khác.



Tuy nhiên, cơ sở dữ liệu nhật ký không chứa bất cứ thông tin cá nhân nào như tên hoặc địa chỉ của người dùng.



Vụ rò rỉ dữ liệu được phát hiện bởi Ata Hakcil của WizCase vào ngày 12 tháng 9 và đã làm thất thoát tới 6,5TB dữ liệu trên các file log. Đặc biệt, những dữ liệu này có thể được truy cập bởi bất cứ ai mà không yêu cầu mật khẩu, có nguy cơ bị tội phạm mạng lợi dụng để thực hiện các cuộc tấn công lừa đảo phishing hoặc tấn công đòi tiền chuộc.



Theo WizCase, máy chủ Elastic đã được bảo vệ bằng mật khẩu cho đến ngày 10 tháng 9, tuy nhiên sau đó khâu xác thực này dường như đã vô tình bị xóa.



Sau khi vấn đề này được tiết lộ riêng cho Trung tâm phản hồi bảo mật của Microsoft, nhà sản xuất Windows đã nhanh chóng giải quyết lỗi cấu hình sai vào ngày 16 tháng 9.



Các máy chủ bị cấu hình sai đã trở thành nguyên nhân gây ra rò rỉ dữ liệu liên tục trong những năm gần đây. Nó dẫn tới một loạt vụ lộ thông tin nhạy cảm của người dùng như địa chỉ email, mật khẩu, số điện thoại và các tin nhắn riêng tư.



“Dựa trên lượng dữ liệu tuyệt đối, có thể suy đoán rằng bất kỳ người dùng nào thực hiện tìm kiếm trên Bing bằng ứng dụng di động trong thời gian máy chủ bị lỗi thì đều đối mặt với nguy cơ bị rò rỉ dữ liệu. Dữ liệu này đã ghi nhận lịch sử tìm kiếm của người dùng từ hơn 70 quốc gia khác nhau,” Chase Williams của WizCase cho biết.



Một số từ khóa tìm kiếm gồm cả những tội phạm đang tìm kiếm nội dung ấu dâm và các trang web chúng truy cập sau khi tìm kiếm, cũng như “các truy vấn liên quan đến súng, các vụ xả súng, với các từ khóa như mua bán súng và ‘kill commies’ (giết cộng sản)”.



Ngoài các thông tin chi tiết về thiết bị và vị trí, dữ liệu còn bao gồm thời gian tìm kiếm chính xác trên ứng dụng di động, một danh sách các URL mà người dùng đã truy cập từ kết quả tìm kiếm, và ba số nhận dạng duy nhất (unique identifier) như ADID (số ID được Microsoft Advertising chỉ định cho một quảng cáo), “deviceID” và “devicehash.”



Ngoài ra, máy chủ cũng bị ảnh hưởng bởi một cuộc tấn công có tên là “ meow attack ” ít nhất hai lần. Cuộc tấn công mạng tự động này đã xóa sạch dữ liệu từ hơn 14.000 thực thể cơ sở dữ liệu không được bảo mật kể từ tháng 7 mà không để lại bất cứ ghi chú tống tiền hay bất cứ lời giải thích nào.



Mặc dù máy chủ bị rò rỉ không tiết lộ tên và các thông tin cá nhân khác, WizCase cảnh báo rằng dữ liệu có thể bị khai thác cho các mục đích bất chính khác, bên cạnh việc khiến người dùng đối mặt với nguy cơ bị tấn công vật lý do những dữ liệu cho phép tội phạm tìm được tung tích của họ.



“Dù đó là tìm kiếm nội dung người lớn, lừa dối bạn đời, những quan điểm chính trị cực đoan, hay hàng trăm thứ đáng xấu hổ khác mà mọi người tìm kiếm trên Bing thì nó cũng sẽ khiến họ trở thành mục tiêu tống tiền dễ dàng, một khi tin tặc có được truy vấn tìm kiếm và biết được danh tính của người dùng dựa trên tất cả các dữ liệu có sẵn trên máy chủ,” công ty cho biết.



Theo The Hacker News
The post Lỗi bảo mật trên máy chủ Bing làm rò rỉ vị trí và truy vấn tìm kiếm của người dùng appeared first on SecurityDaily .