Bing est un moteur de recherche appartenant à Microsoft et les données volées appartiennent à l'application mobile (iOS et Android) qui se trouvait sur un serveur ouvert. Le serveur contenait environ 6,5 To de données et augmentait de 200 Go par jour lorsqu'il a été découvert.
Les utilisateurs de l'application mobile Bing sur n'importe quelle plate-forme, y compris iOS et iPadOS, sont en danger après le vol de téraoctets d'informations personnelles sur un serveur non sécurisé.
Le groupe de hackers (dédié aux bonnes pratiques) WizCase a découvert le serveur ouvert le 12 septembre, qui avait été protégé jusqu'au 10 septembre. Microsoft a été informé le 13 septembre après avoir découvert à qui appartenait le serveur. Le serveur non sécurisé a été protégé par le Microsoft Security Response Center le 16 septembre.
WizCase a pu identifier l'exploration de données et une attaque "Meow" ultérieure pendant la durée de son ouverture. Une attaque Meow est une attaque automatique sur un serveur exposé qui vise à effacer une grande quantité de données du serveur. Cette attaque Meow a presque complètement effacé la base de données.
Environ 100 millions d'enregistrements avaient été collectés par les "hackers" lorsqu'une deuxième attaque Meow a été lancée contre le serveur le 14 septembre. De nombreux types de pirates ont accédé aux données alors que le serveur était ouvert, il y avait donc suffisamment de temps pour obtenir presque toutes les données sur le serveur.
Qu'est-ce que cela signifie pour les utilisateurs ?
Un serveur ouvert rempli de téraoctets de données utilisateur est un vrai régal pour les pirates malveillants. Les données incluses sur le serveur comprenaient les éléments suivants :
- termes de recherche en texte brut
- Coordonnées de localisation des utilisateurs ayant activé la géolocalisation
- Temps de recherche exact
- Jeton de réclamation Firebase
- Données terminologiques dans les résultats de recherche
- Liste partielle des URL visitées dans les résultats de recherche
- Modèle de l'appareil utilisé
- deviceID, devicehash et ADID de l'appareil de l'utilisateur
Cette base de données peut être utilisée pour rechercher des utilisateurs spécifiques en fonction de demandes ou d'emplacements, ce qui peut entraîner des fraudes, du chantage, du phishing ou des menaces physiques. L'équipe de WizCase a pu identifier des utilisateurs spécifiques qui avaient recherché du matériel pédopornographique, des armes ou où attaquer des groupes spécifiques de personnes.