Un servidor de back-end asociado con Microsoft Bing expuso datos confidenciales de los usuarios de la aplicación móvil del motor de búsqueda, incluidas consultas de búsqueda, detalles del dispositivo y coordenadas GPS, entre otros.
Sin embargo, la base de datos de registro no incluye ningún dato personal, como nombres o direcciones.
La fuga de datos, descubierta por Ata Hakcil de WizCase el 12 de septiembre, es un caché masivo de 6,5 TB de archivos de registro que se dejó para que cualquiera pudiera acceder sin ninguna contraseña, lo que potencialmente permite a los ciberdelincuentes aprovechar la información para llevar a cabo estafas de extorsión y phishing.
Según WizCase, se cree que el servidor de Elastic estuvo protegido con contraseña hasta el 10 de septiembre, después de lo cual parece que la autenticación se eliminó sin darse cuenta.
Después de que los hallazgos se divulgaran de forma privada al Centro de respuestas de seguridad de Microsoft, el fabricante de Windows abordó la configuración incorrecta el 16 de septiembre.
Los servidores mal configurados han sido una fuente constante de fugas de datos en los últimos años, lo que ha dado lugar a la exposición de direcciones de correo electrónico, contraseñas, números de teléfono y mensajes privados.
«Con base en la gran cantidad de datos, es seguro especular que cualquiera que haya realizado una búsqueda en Bing con la aplicación móvil mientras el servidor ha estado expuesto está en riesgo», dijo Chase Williams de WizCase en una publicación del lunes. «Vimos registros de personas que buscaban en más de 70 países».
Algunos de los términos de búsqueda incluían depredadores que buscaban pornografía infantil y los sitios web que visitaron después de la búsqueda, así como «consultas relacionadas con armas e interés en tiroteos, con historiales de búsqueda que incluían la compra de armas y términos de búsqueda como ‘matar a los comunistas'». ‘»
Aparte de los detalles del dispositivo y la ubicación, los datos también consistían en la hora exacta en que se realizó la búsqueda con la aplicación móvil, una lista parcial de las URL que los usuarios visitaron en los resultados de la búsqueda y tres identificadores únicos, como ADID (una identificación numérica asignado por Microsoft Advertising a un anuncio), «deviceID» y «devicehash».
Además, el servidor también sufrió lo que se llama un «ataque de miau» al menos dos veces, un ataque cibernético automatizado que ha borrado datos de más de 14,000 instancias de bases de datos no seguras desde julio sin explicación.
Aunque el servidor filtrado no reveló nombres ni otra información personal, WizCase advirtió que los datos podrían explotarse para otros fines nefastos, además de exponer a los usuarios a ataques físicos al permitir que los delincuentes triangulen su paradero.
“Ya sea buscando contenido para adultos, engañando a una persona importante, puntos de vista políticos extremos o cientos de cosas vergonzosas que la gente busca en Bing”, dijo la compañía. «Una vez que el pirata informático tiene la consulta de búsqueda, podría ser posible averiguar la identidad de la persona gracias a todos los detalles disponibles en el servidor, lo que los convierte en un objetivo fácil de chantaje».
