本月早些时候,微软向全世界公开了一台6.5TB的Elastic服务器,其中包括搜索词、位置坐标、设备ID数据,以及访问过哪些URL的部分列表。
根据网络安全机构WizCase的一份报告,服务器一直受到密码保护,直到9月10日左右,认证被取消,我们被告知。
WizCase代码探测者Ata Hakcel于9月12日发现了该漏洞。这些数据似乎是由必应(Bing)手机应用程序生成的,该应用程序承诺,用户很容易获得奖励,只需用必应搜索就可以了,而且从谷歌的Play Store下载的次数至少超过1000万次。根据WizCase的数据,这些数据每天增长高达200 GB,其中包括来自70多个国家的人的搜索。
一旦数据不受保护,就会发生几件事。9月13日,这家信息安全公司向微软报告了这一问题,9月16日,Windows巨头的安全响应中心将该数据库从公众视线中消失了。这给黑客和机器人留下了充足的时间来跌跌撞撞地进入数据竖井。WizCase表示,该服务器曾两次遭遇喵叫攻击,指的是一种机器人,它会清除不安全的数据库,并用新的重复使用喵这个词的数据库取而代之。然而,来自必应应用程序的新鲜遥测继续在筒仓中收集。如果喵机器人发现了这些数据,很可能其他感兴趣的人也会这样做。
在缓解方面,这些信息不包括姓名、地址或电子邮件地址等个人详细信息。然而,一个关键的问题是,是否包括了足够的数据来追踪使用该搜索引擎的个人。
2006年,AOL发布了它认为是出于研究目的的匿名搜索数据,尽管记者们很快通过确认一些搜索者的身份证明了这一点是错误的。这很容易的原因之一是,每个搜索者都由一个数字关键字标识,因此可以看到特定个人进行的所有搜索,然后将查询中的线索连接起来。
漏水的AWS S3水桶非常常见,现在数以千计的人正在发现它们-其中隐藏着大量的秘密。
多读
看来微软泄露的数据可能同样会对隐私造成影响。WizCase屏幕截图显示,这些记录包括名为deviceID、deviceHash、AdID和clientID的字段,就查找特定用户的所有搜索而言,所有这些字段都很有希望。还有一些坐标显示了500米以内的位置,虽然不够精确,无法得到地址,但对试图识别搜索者的人很有帮助。
这些数据还揭示了人们搜索的一些令人不快的东西,包括非法内容。WizCase建议,如果犯罪分子成功地解除数据的匿名化,一些人可能因此容易受到勒索或网络钓鱼诈骗的攻击。
StatCounter的数据显示,必应的市场份额仅为2.83%,而谷歌的市场份额为92.05%。尽管如此,这只是一个非常大的市场中的一小部分,而且StatCounter的数据可能没有反映通过必应应用程序或集成到Windows搜索中的搜索结果。
这一安全失误对微软来说是不幸的,它宣称简化的隐私控制是iOS版必应搜索的好处之一。
微软的一位发言人告诉我们:“我们已经修复了一个导致少量搜索查询数据泄露的错误配置。经过分析,我们已经确定暴露的数据是有限的,而且是不确定的。“。
任何人都可能犯错误,但我们与微软(Microsoft)和谷歌(Google)等搜索提供商达成了一项隐含的协议,允许他们收集我们行为的数据,作为回报,我们可以获得个性化服务和改进的搜索结果。需要高度的信任,而这类事件正在损害这种信任。显然,这些数据没有加密。®。
The Register-独立于科技界的新闻和观点。情况发布的一部分