Servidor Bing inseguro expuso las b煤squedas y ubicaci贸n de los usuarios

Un servidor back-end de Microsoft Bing expuso datos t茅cnicos de los usuarios de aplicaciones m贸viles del buscador, incluyendo consultas de b煤squeda, detalles de los dispositivos y coordenadas GPS, entre otros.

La filtraci贸n de datos, descubierta recientemente por Ata Hakcil de la empresa de seguridad WizCase de septiembre, consiste de un masivo cach茅 de 6,5 TB de datos que fue dejado a disposici贸n de cualquiera y desprovisto de contrase帽a, permitiendo potencialmente a los intrusos aprovechar la informaci贸n para llevar a cabo extorsiones y estafas de phishing.

Cabe se帽alar que la base de datos no inclu铆a datos personal como nombres o direcciones.

Seg煤n WizCase, se cree que el servidor Elastic estuvo protegido por contrase帽a hasta el 10 de septiembre, despu茅s de lo cual la autenticaci贸n parece haber sido eliminada inadvertidamente. Despu茅s de que los hallazgos fueron revelados directamente al Centro de Respuesta de Seguridad de Microsoft, la empresa solucion贸 el problema de configuraci贸n el 16 de septiembre.

“En base a la gran cantidad de datos, es prudente deducir que cualquiera que haya hecho una b煤squeda en Bing con la aplicaci贸n m贸vil mientras el servidor ha sido expuesto estar铆a en peligro”, dijo Chase Williams de WizCase en el blog de la empresa.

Algunos de los t茅rminos de b煤squeda comprend铆an depredadores buscando material de violencia sexual contra menores de edad, y los sitios web que visitaron despu茅s de la b煤squeda, as铆 como b煤squedas relacionadas con armas e inter茅s en tiroteos, con historiales de b煤squeda que inclu铆an compras de armas, y t茅rminos de b煤squeda como ‘matar comunistas’.

Adem谩s de los detalles del dispositivo y la ubicaci贸n, los datos tambi茅n consist铆an en la hora exacta en que se realiz贸 la b煤squeda con la aplicaci贸n m贸vil, una lista parcial de las URL que los usuarios visitaron de los resultados de la b煤squeda y tres identificadores 煤nicos, como ADID (un ID num茅rico asignado por Microsoft Advertising a un anuncio), “deviceID” y “devicehash”.

Adem谩s, el servidor tambi茅n fue objeto de lo que se denomina un “ataque meow” al menos en dos ocasiones, un ciberataque automatizado que ha borrado los datos de m谩s de 14.000 instancias de bases de datos no seguras desde julio sin ninguna explicaci贸n.

Aunque el servidor filtrado no revel贸 nombres y otra informaci贸n personal, WizCase advirti贸 que los datos podr铆an ser explotados para otros prop贸sitos maliciosos, adem谩s de exponer a los usuarios a ataques f铆sicos al permitir que los criminales triangulen su paradero.

“Ya sea que se trate de buscar contenido para adultos, de enga帽ar a una persona importante, de opiniones pol铆ticas extremas o de cientos de cosas embarazosas que la gente busca en Bing, una vez que el hacker tiene la consulta de b煤squeda, podr铆a ser posible averiguar la identidad de la persona gracias a todos los detalles disponibles en el servidor, convirti茅ndolo en un blanco f谩cil para el chantaje”, escribe la compa帽铆a, aunque sin precisar si el ejemplo de violencia sexual contra menores constituye, a su juicio, simplemente 鈥渃ontenido para adultos鈥.


Destacamos

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.