Bing es el motor de búsqueda propiedad de Microsoft y los datos robados pertenecen a la app para dispositivos móviles (iOS y Android) que se encontraba en un servidor abierto. El servidor tenía unos 6,5 TB de datos y aumentaba en 200 GB al día cuando se descubrió.
Usuarios de la aplicación móvil Bing en cualquier plataforma, incluidos iOS e iPadOS, están en peligro después de que terabytes de información personal de los usuarios hayan sido robadas de un servidor no seguro.
El grupo de hackers (dedicado a buenas prácticas) WizCase descubrieron el servidor abierto el 12 de Septiembre, que había sido seguro hasta el 10 de Septiembre. Microsoft fue alertada el 13 de Septiembre, después de que averiguaran quien era el propietario del servidor. El servidor desprotegido fue asegurado por el Microsoft Security Response Center el 16 de Septiembre.
WizCase pudo identificar la extracción de datos, y un ataque “Meow” posterior durante el tiempo en que estuvo abierto. Un ataque Meow es un ataque automático a un servidor expuesto que pretende borrar una gran cantidad de datos del servidor. Este ataque Meow borró casi completamente la base de datos.
Alrededor de 100 millones de registros habían sido recogidos por “piratas” cuando un segundo ataque Meow fue lanzado contra el servidor el 14 de Septiembre. Muchos tipos de hackers tuvieron acceso a los datos mientras el servidor estuvo abierto, así que ha habido tiempo suficiente como para que se obtengan prácticamente todos los datos que contuviera el servidor.
¿Qué significa para los usuarios?
Un servidor abierto llenado con terabytes de datos de usuarios es un auténtico regalo para los hackers con malas intenciones. Los datos incluidos en el servidor incluían lo siguiente:
- términos de búsqueda en texto plano
- Coordenadas de ubicación de usuarios que tuvieran la geolocalización activada
- Hora exacta de la búsqueda
- Tokens de notificación de Firebase
- Datos de los términos en el resultado de las búsquedas
- Lista parcial de URLs visitados dentro de los resultados de búsquedas
- Modelo de dispositivo utilizado
- deviceID, devicehash y ADID del dispositivo del usuario
Esta base de datos puede utilizarse para buscar usuarios específicos basándose en peticiones o ubicaciones, lo que puede llevar a fraudes, chantajes, phishing o amenazas físicas. El equipo de WizCase pudieron identificar usuarios específicos que habían buscado pornografía infantil, armas, o dónde atacar a grupos concretos de personas.
