La filtración de datos, descubierta recientemente por Ata Hakcil de la empresa de seguridad WizCase de septiembre, consiste de un masivo caché de 6,5 TB de datos que fue dejado a disposición de cualquiera y desprovisto de contraseña, permitiendo potencialmente a los intrusos aprovechar la información para llevar a cabo extorsiones y estafas de phishing.
Cabe señalar que la base de datos no incluía datos personal como nombres o direcciones.
Según WizCase, se cree que el servidor Elastic estuvo protegido por contraseña hasta el 10 de septiembre, después de lo cual la autenticación parece haber sido eliminada inadvertidamente. Después de que los hallazgos fueron revelados directamente al Centro de Respuesta de Seguridad de Microsoft, la empresa solucionó el problema de configuración el 16 de septiembre.
“En base a la gran cantidad de datos, es prudente deducir que cualquiera que haya hecho una búsqueda en Bing con la aplicación móvil mientras el servidor ha sido expuesto estaría en peligro”, dijo Chase Williams de WizCase en el blog de la empresa.
Algunos de los términos de búsqueda comprendían depredadores buscando material de violencia sexual contra menores de edad, y los sitios web que visitaron después de la búsqueda, así como búsquedas relacionadas con armas e interés en tiroteos, con historiales de búsqueda que incluían compras de armas, y términos de búsqueda como ‘matar comunistas’.
Además de los detalles del dispositivo y la ubicación, los datos también consistían en la hora exacta en que se realizó la búsqueda con la aplicación móvil, una lista parcial de las URL que los usuarios visitaron de los resultados de la búsqueda y tres identificadores únicos, como ADID (un ID numérico asignado por Microsoft Advertising a un anuncio), “deviceID” y “devicehash”.
Además, el servidor también fue objeto de lo que se denomina un “ataque meow” al menos en dos ocasiones, un ciberataque automatizado que ha borrado los datos de más de 14.000 instancias de bases de datos no seguras desde julio sin ninguna explicación.
Aunque el servidor filtrado no reveló nombres y otra información personal, WizCase advirtió que los datos podrían ser explotados para otros propósitos maliciosos, además de exponer a los usuarios a ataques físicos al permitir que los criminales triangulen su paradero.
“Ya sea que se trate de buscar contenido para adultos, de engañar a una persona importante, de opiniones políticas extremas o de cientos de cosas embarazosas que la gente busca en Bing, una vez que el hacker tiene la consulta de búsqueda, podría ser posible averiguar la identidad de la persona gracias a todos los detalles disponibles en el servidor, convirtiéndolo en un blanco fácil para el chantaje”, escribe la compañía, aunque sin precisar si el ejemplo de violencia sexual contra menores constituye, a su juicio, simplemente “contenido para adultos”.
